访问 :https://www.jianshu.com/p/544bb4bccd82
跨站脚本攻击(XSS攻击)
XSS(Cross Site Scripting),跨站脚本攻击。xss是常见的web攻击技术之一.所谓的跨站脚本攻击指的是:恶意攻击者往web页面里注入恶意script代码,当用户游览这些网页时,就会执行其中的恶意代码可对用户进行盗取cookie信息、会话劫持等各种攻击.
1.输入过滤 永远不要相信用户的输入,对用户输入的数据做一定的过滤。如输入的数据是否符合预期的格式,比如日期格式,Email格式,电话号码格式等等这样可以初步对XSS漏洞进行防御。上面的措施只在web端做了限制,攻击者通抓包工具如Fiddler还是可以绕过前端输入的限制,修改请求注入攻击脚本。
因此,后台服务器需要在接收到用户输入的数据后,对特殊危险字符进行过滤或者转义处理,然后再存储到数据库中。
(2) 输出编码。服务器端输出到浏览器的数据,
可以使用系统的安全函数来进行编码或转义来防范XSS攻击。在PHP中,有htmlentities()和htmlspecialchars()两个函数可以满足安全要求。相应的JavaScript的编码方式可以使用JavascriptEncode。
(3)安全编码。开发需尽量避免Web客户端文档重写、重定向或其他敏感操作,同时要避免使用客户端数据,这些操作需尽量在服
务器端使用动态页面来实现。
(4) HttpOnly Cookie。预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时,将其属性设为HttpOnly,
就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。
文件上传漏洞
(1)检查服务器是否判断了上传文件类型及后缀。
网友评论