XSS攻击

XSS

XSS(cross site Script)

XSS 的分类:

  1. 反射型。即相信用户的输入,直接输出到页面导致 JS 脚本执行
  2. 存储型。指输入的内容直接存入数据库。这样以后只要取出并展现这条数据时就会执行 JS。

解决方案:

  1. 转义

    1. HTML 实体 (< > & ")。用在 HTML 或者属性中输出内容时。
    2. JS Encode (\\r, \\n, \u1234 等),用于在 JS 或者事件或者 CSS 中输出内容时
    3. URIComponent (%12),用于在 URL 上输出内容时

  2. 将重要的 cookie 设置为 http-only

  3. 将表单项内容的类型进行限制,如只能填写数字,只能填写某些字符等。

  4. 如果有用户输入作为 HTML 直接输出到页面的,需要过滤敏感标签,如 <script><iframe>

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容