对于XSS怎么修补建议

江小悠 18 0

输入点检查:对用户输入的数据进行合法性检查,使用 filter过滤敏感字符或对进行编码转义,针对特定类型数据进行格式检查针对输入点的检查最好放在服务器端实现。
输出点检查:对变量输出到HTML页面中时,对输出内容进行编码转义,输出在HTML中时,对其进行 HTMLEncode,如果输出在 Javascript脚本中时,对其进行 JavascriptEncode使用 JavascriptEncode变量都放在引号中并转义危险字符,data部分就无法逃逸出引号外成为code的一部分还可以使用更加严格的方法,对所有数字字母之外的字符都使用十六进制编码。此外,要注意在浏览器中,HTML的解析会优先于Javascript的解析,编码的方式也需要考虑清楚。除此之外,还有做HTTPonly对Cookie劫持做限制。

发表评论 取消回复
表情 图片 链接 代码

分享