就连Twitter这样的知名网站也存在XSS漏洞,我们应该如何预防这种攻击呢?
您可以做的第一件事是将您的 cookie 设置为仅 HTTP...这至少可以防止会话 cookie 劫持。就像当您可能是自己网站的管理员时有人窃取您的 cookie。
剩下的就是验证所有用户输入。
- 规则 #0 - 切勿在允许的位置之外插入不受信任的数据
- 规则 #1 - 在将不受信任的数据插入 HTML 元素内容之前进行 HTML 转义
- 规则 #2 - 在将不受信任的数据插入 HTML 公共属性之前进行属性转义
- 规则 #3 - 在将不受信任的数据插入 HTML JavaScript 数据值之前进行 JavaScript 转义
- 规则 #4 - 在将不受信任的数据插入 HTML 样式属性值之前进行 CSS 转义
- 规则 #5 - 在将不受信任的数据插入 HTML URL 属性之前进行 URL 转义
这里详细讨论了非常冗长的主题:
http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
http://www.owasp.org/index.php/Cross_site_scripting http://www.owasp.org/index.php/Cross_site_scripting
XSS 只是众多漏洞之一,每个 Web 开发人员都应该牢记前 10 名 OWASP 恕我直言
http://www.owasp.org/index.php/Top_10_2007 http://www.owasp.org/index.php/Top_10_2007
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)