美文网首页
XSS 常用防御方式

XSS 常用防御方式

作者: hyperRect | 来源:发表于2017-07-28 03:22 被阅读0次

1. HTML

1.1 head 设置charset = UTF-8

  • 防止IE下自动使用 UTF7

1.2 content-type JSON时 需要明确设置

  • 防止给JSON中注入js

2 HTTP响应头

2.1 X-XSS-PROTECTION: 1;mode=block

  • 开启浏览器XSS过滤器

2.2 X-Frame-Options:deny

  • 响应头会被禁止加载到frame中

2.3 X-Content-Type-Options:nosniff

  • 禁止浏览器做MIME嗅探

2.4 [重要] Content-Security-Policy: default-src:'self'

  • 只允许本origin的资源
    • default-src = 各种资源
    • script -src , img -src 脚本资源, 图片资源

可以设置的值除了 self 之外 script-src还可以设置 unsafe-inline 但一定要跟 nounce

2.5 Set-Cookie:key = value; HttpOnly

  • 设置Cookie成为只读

2.6 Content-Type:type/subtype;charset=utf-8

3 服务端语言 用各自的转义库去encode和decode

相关文章

  • XSS 常用防御方式

    1. HTML 1.1 head 设置charset = UTF-8 防止IE下自动使用 UTF7 1.2 con...

  • 前端面试题六-前端安全性问题

    一、xss跨站脚本攻击 原理:方式:防御: 二、CSRF跨站请求伪造 原理:方式:防御 三、sql脚本注入 原理:...

  • 安全包开发整体架构

    SSRF防御 SSRF安全漏洞以及防御实现 XSS防御 xss漏洞以及防御实现 CSRF防御 CSRF安全漏洞以及...

  • 21.浅谈前端WEB安全性(二)

    (二)浅谈前端WEB安全性5.XSS防御6.XSS分类及挖掘方法 5.XSS防御 一.概述 攻击者可以利用XSS漏...

  • XSS与CSRF的防范

    防止xss注入 xss攻击从发生的时间段来看,主要有两种防御方式,第一种是防止xss注入,第二种则是在xss注入之...

  • xss防御

    XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Sty...

  • xss防御

    四两拨千斤:HttpOnIy严格地说,HttpOnly并非为了对抗XSS——HttpOnly解决的是XSS后的Co...

  • 【XSS】XSS防御说

    0x01 HTTP响应的X-头部 1. x-frame-options x-frame-options的值有两个:...

  • WEB 安全测试之 XSS 攻击

    目录结构 1、 背景知识 2、 XSS 漏洞的分类 3、 XSS 防御 4、 如何测试 XSS 漏洞 5、 HTM...

  • 面试—前端安全问题防御

    1、xss跨站脚本攻击xss跨站脚本攻击主要是用户通过输入或者其他的方式,注入一段js代码,而页面在没有任何防御措...

网友评论

      本文标题:XSS 常用防御方式

      本文链接:https://www.haomeiwen.com/subject/xffxlxtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|XSS 常用防御方式|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!