当前位置:首页 > 网络安全 > 正文内容

XSS进犯的解决方法

访客4年前 (2021-04-15)网络安全637

 在我上一篇《前端安全之XSS进犯》文中,并没有把XSS进犯的处理办法说完好,而XSS的进犯又那么形形色色,有没有一招“独孤九剑”能够抗衡,究竟那么多状况场景,开发人员无法逐个照料过来,而今日经过阅览《白帽子讲Web安全》这本书,对应对方法有了更好的总结,分为两类,一是服务端能够干的事,二是客户端能够干的事。

条件

在说XSS处理方法时,有一个条件。便是同源战略——浏览器的同源战略(浏览器安全的根底,即使是进犯脚本也要恪守这规律),约束了来自不同源的“document”或脚本,对当时“document”读取或设置某些特点。除了DOM、Cookie、XMLHttpRequest会遭到同源战略的约束外,浏览器加载的一些第三方插件也有各自的同源战略。不过script、img、iframe、link等标签都能够跨域加载资源,而不受同源战略的约束。

服务端能够干的事

1. HttpOnly

其实便是现在HTTP协议(HTTPS也是能够的)才干读取cookies,JavaScript是读取不到cookies的。支撑浏览器是IE6+、Firefox2+、Google、Safari4+。

JavaEE给Cookie增加HttpOnly的代码:

response.setHeader("Set-Cookie","cookiename=value; Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

PS:关于HTTPS,仍是能够设置Secure字段,对Cookie进行安全加密。

这是本质上不是防备XSS,而是在被攻破时分不允许JS读取Cookie。

2.处理富文本

有些数据由于运用场景问题,并不能直接在服务端进行转义存储。不过富文本数据语义是完好的HTML代码,在输出时也不会拼凑到某个标签的特点中,所以能够当特别状况特别处理。处理的进程是在服务端装备富文本标签和特点的白名单,不允许呈现其他标签或特点(例如script、iframe、form等),即”XSS Filter“。然后在存储之前进行过滤(过滤原理没有去探明)。

Java有个开源项目Anti-Samy是非常好的XSS Filter:

Policy ploicy = Policy.getInstance(POLICY_FILE_LOCATION); AntiSamy as = new AntiSamy(); CleanResults cr = as.scan(dirtyInput, policy); MyUserDao.storeUserProfile(cr.getCleanHTML());

PS:当然也能够在前端显现前过滤,可是我觉得,让前端人员少做东西好,而且服务端只需要转一次。

客户端能够干的事

1. 输入查看

输入查看的逻辑,有必要放在服务器端代码中完成(由于用JavaScript做输入查看,很简单被进犯者绕过)。现在Web开发的遍及做法,是一起在客户端JavaScript中和服务器代码中完成相同的输入查看。客户端JavaScript的输入查看,能够阻挠大部分误操作的正常用户,然后节省服务资源。

PS:简单说,便是输入查看,服务端和客户端都要做。

[1] [2] [3]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:http://therlest.com/106021.html

分享给朋友:

“XSS进犯的解决方法” 的相关文章

黑客追款出款成功再收费「24小时在线的黑客追款」

据公务员期刊网2021年10月14日18:37:49的最新发布,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,黑客追款出款成功再收费。可能没有机会接触到钱。那时候我就有想过退步。 一、黑客追回网赌40万 首先确保整个无前期费用黑客追款方案是最有效的,在做一件黑客...

创业板投资风险揭示书,创业板风险揭示书

保荐机构(主承销商):中泰证券股份有限公司 苏州天路光科技股份有限公司(以下简称“天路科技”、“发行人”或“公司”)首次公开发行不超过2579万股普通股(a股)(以下简称“本次发行”)的申请,已经深圳证券交易所(以下简称“深交所”)创业板上市委员会委员审议通过,并经中国证券监督管理委员会(以下...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

兼职收入贷款好贷吗 「打零工收入证明范本」

银行申请信用卡的话,兼职。已连续在我公司。 一些银行是可以的,有还款能力就可以申请贷款。承担清偿责任。比如军人、为人民币。 只是打一个电话而已「直接按照给你的收入证明里面需要填写的,可以好贷申请办理贷款。有的规定兼职收入不得超过主收入的50。 如名下房产范本、对于兼职收入的金额以及流水账单,某公司借...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

53度最便宜酱香郎酒_郎酒经典酱香53度

我一朋友,500多到600多,10年红花郎288,现在估价至少在2000元以上,郎酒老郎酒淡雅2002年出厂,三星,关键是看款型,1992年53-1度酱香型。 郎酒还是1898起步比较好。对了,或者以前的,未来两年必定疯长!不知道怎么上图,现在的价格是158元每瓶便宜,你好。 看目前郎酒的上涨势头,...

评论列表

只影鸽屿
3年前 (2022-07-05)

avaScript是读取不到cookies的。支撑浏览器是IE6+、Firefox2+、Google、Safari4+。JavaEE给Cookie增加HttpOnly的代码:response.setHeader("

忿咬聊慰
3年前 (2022-07-05)

+、Firefox2+、Google、Safari4+。JavaEE给Cookie增加HttpOnly的代码:response.setHeader("Set-Cookie","cookiename=value; Path=/;Do

蓝殇妏与
3年前 (2022-07-05)

逻辑,有必要放在服务器端代码中完成(由于用JavaScript做输入查看,很简单被进犯者绕过)。现在Web开发的遍及做法,是一起在客户端JavaScript中和服务器代码中完成相同的输入查看。客户端JavaScript的输入查看,能

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。