Web信息安全实践_4.1 XSS防御

2021-04-24 05:28

阅读：489

标签：table ack span tran users tom theme tab 判断

XSS 存在的三个条件

使用黑名单，从用户的输入中删除

ipt> //若仅过滤一个script，其他不检查

somescript>alert(‘hello‘)/script //在标签中加标签，防止被过滤

// 伪协议JavaScript
‘Hello‘)>

"javascript:alert(‘Hello’)”>

// 伪协议JavaScript
‘Hello‘)>

"javascript:alert(‘Hello’)”>

// 伪协议JavaScript
‘Hello‘)>

"javascript:alert(‘Hello’)”>

// 编码绕过防御措施
%3cscript%3ealert(document.cookie) %3cscript%3e

// www.myzoo.com/users.php
$profile = htmlspecialchars($profile); 
//htmlspecialchars：把特殊字符（如

微软提出，保护cookie策略

? 大多数浏览器都支持 httponly cookie

? 仅在传输 HTTP （或 HTTPS ）请求时才使用 httpOnly 会话cookie

? 防止通过 XSS 窃取会话 cookie

Web信息安全实践_4.1 XSS防御

标签：table ack span tran users tom theme tab 判断

原文地址：https://www.cnblogs.com/tianjiazhen/p/12235883.html