常见Web安全错误#3:跨站点脚本(XSS)
这是相当普遍的输入消毒失败(本质上是常见错误#1的特例)。攻击者在输入时向您的Web应用程序提供JavaScript标签。当此输入未经过滤返回给用户时,用户的浏览器将执行该输入。它可以像制作链接并说服用户单击一样简单,也可以更加险恶。在页面加载时,脚本会运行,例如,该脚本可用于将Cookie发布给攻击者。
预防措施: 有一个简单的Web安全解决方案:不要将HTML标签返回给客户端。这具有抵御HTML注入的额外好处,这是一种类似的攻击方式,攻击者可以注入纯HTML内容(例如图像或大声的不可见Flash播放器)-不会产生太大影响,但肯定会令人讨厌(“请停止!”)。通常,解决方法是简单地转换所有HTML实体,因此将<script>其返回为<script>。另一种常用的清除方法是使用正则表达式在<和上使用正则表达式剥离HTML标记>,但这很危险,因为许多浏览器会很好地解释严重损坏的HTML。最好将所有角色转换为逃脱的对应角色。
本站本着相互幫助,合作共贏嘅精神,幫助大家,如果有侵犯版權或違反法律嘅行為請聯系負責人進行刪除和嚴懲本站用戶
»
常见Web安全错误#3:跨站点脚本(XSS)
常见问题FAQ
- 源码存在后门嘛?
- 每个源码提供者都是认真核查后发布出来的,如果有后门,官方会严惩作者!
- 技术都是免费的吗?
- 大多资源和技术学习都是免费得,部分比较高级的学习资料发布者收费也是可以的!
- 使用的软件可靠嘛?
- 软件都是进行挑选出来的,保障每个都能正常的使用。
- 找人任务修改会有危险吗?
- 请建议不要私下交易,任何都以平台为主,如果技术方愚弄你,都会受到严惩!
