ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

Web信息安全实践_4.1 XSS防御

2020-01-27 14:03:30  阅读:203  来源: 互联网

标签:Web JavaScript 4.1 XSS script 过滤 cookie 输入


XSS 存在的三个条件

  • 网站应用程序必须接受用户的输入信息
  • 用户的输入会被网站用来创建动态内容
  • 用户的输入验证不充分
    • 输入过滤,输出转义:检查用户输入含有攻击信息,尽可能过滤攻击信息;如果不能判断哪些是攻击信息,那么要使得显示的时候不能发送攻击
 

输入过滤

使用黑名单,从用户的输入中删除 <script>
  • 缺点:很难保证完全;限制了用户展示代码
<scr<script>ipt> //若仅过滤一个script,其他不检查
some<<b>script>alert('hello')<</b>/script //在标签中加标签,防止被过滤
// 伪协议JavaScript
<img src=javascript:alert('Hello')> 
<table background="javascript:alert('Hello’)”>
// 伪协议JavaScript
<img src=javascript:alert('Hello')> 
<table background="javascript:alert('Hello’)”>
 
// 伪协议JavaScript
<img src=javascript:alert('Hello')> 
<table background="javascript:alert('Hello’)”>
// 编码绕过防御措施
%3cscript%3ealert(document.cookie) %3cscript%3e
   

 输出转义

 

// www.myzoo.com/users.php
$profile = htmlspecialchars($profile); 
//htmlspecialchars:把特殊字符(如< /)特殊编码,经过特殊编码后script不会被识别成脚本语言,但显示时仍以字符原样显示

XSS 防御: httponly cookie

微软提出,保护cookie策略 ➢ 大多数浏览器都支持 httponly cookie ➢ 仅在传输 HTTP (或 HTTPS )请求时才使用 httpOnly 会话cookie ➢ 防止通过 XSS 窃取会话 cookie  

标签:Web,JavaScript,4.1,XSS,script,过滤,cookie,输入
来源: https://www.cnblogs.com/tianjiazhen/p/12235883.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有