美文网首页
记一次XSS攻击

记一次XSS攻击

作者: 学浅知少 | 来源:发表于2019-01-18 17:15 被阅读0次

    bug重现:加载个人资料页前总是会出现alert(1),并且只存在于一个特定的用户。

    原因:用户设置个人资料时,是这么设置的:  活泼可爱....<script>alert(1)</script>,导致加载个人页时先加载了这个alert(1)。

    解决方法

    1、将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.

    2、表单数据规定值的类型,例如:年龄应为只能为int、name只能为字母数字组合。。。。

    4、对数据进行Html Encode 处理

    5、过滤或移除特殊的Html标签, 例如: <script>, <iframe> , &lt; for <, &gt; for >, &quot for

    6、过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

    感谢这名用户帮忙测试!!!

    相关文章

      网友评论

          本文标题:记一次XSS攻击

          本文链接:https://www.haomeiwen.com/subject/ujondqtx.html