类别:浏览器 / 日期:2023-01-31 / 浏览:211 / 评论:0
可以看到 XSS 危害如此之大,那么在开发网站时就要做好防御措施, 具体措施如下:
可以从浏览器的执行来进行预防,一种是使用纯前端的方式,不用服 务器端拼接后返回(不使用服务端渲染)。另一种是对需要插入到 HTML 中的代码做好充分的转义。对于 DOM 型的攻击,主要是前端脚 本的不可靠而造成的,对于数据获取渲染和字符串拼接的时候应该对 可能出现的恶意代码情况进行判断。
使用 CSP ,CSP 的本质是建立一个白名单,告诉浏览器哪些外部资 源可以加载和执行,从而防止恶意代码的注入攻击。
1.CSP 指的是内容安全策略,它的本质是建立一个白名单,告诉浏览 器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截由 浏览器自己来实现。
2.通常有两种方式来开启 CSP,一种是设置 HTTP 首部中的 Content-Security-Policy,一种是设置 meta 标签的方式 <meta http-equiv="Content-Security-Policy-xss
对一些敏感信息进行保护,比如 cookie 使用 http-only,使得脚本 无法获取。也可以使用验证码,避免脚本伪装成用户执行一些操作。
版权声明 : 本文未使用任何知识共享协议授权,您可以任何形式自由转载或使用。
发表评论 / 取消回复