甚么是XSS漏洞
XSS(Cross-sitescripting)漏洞是一种网站利用程序漏洞,攻击者通过利用这类漏洞注入歹意代码,从而控制页面上的脚本履行,从而攻击用户的浏览器和网络安全。XSS的缘由是,在用户输入的数据没有进行充分的过滤和转义,致使攻击者可以在客户端浏览器上履行歹意代码。
如何修复XSS漏洞
下面是修复XSS漏洞的有效方法:
1.数据过滤
过滤用户提交的所有数据,对不符合规范的输入进行拦截并提示用户,制止输入特殊字符,避免代码注入攻击;
2.数据转义
对允许部份HTML标签的输出,对输出数据进行HTML转义,将特殊字符转换成实体编码;
3.HttpOnlyCookie
使用HttpOnlyCookie可以避免XSS攻击盗取Cookie的问题,HttpOnlyCookie只能被服务器读取,JavaScript不能读取,有效避免了一些XSS攻击;
4.CSP(ContentSecurityPolicy)
CSP是一个Web利用程序的安全策略框架,可以指定允许哪些资源可以被加载,制止哪些资源不能被加载,从而到达防范XSS漏洞的目的;
5.输入验证
对输入的内容进行验证,例如验证邮件地址、URL、电话号码等输入会不会符合规范,避免歹意脚本注入,从而攻击漏洞;
6.不信任第三方数据
第三方数据不可信,如果使用第三方数据一定要对数据进行严格的处理和过滤,避免XSS漏洞等安全问题;
7.安全编码
程序员编码时一定要注意安全问题,代码要进行充分的测试和检查,避免因代码漏洞致使的XSS和其他安全问题;
桂*哥*网*络www.guIGege.cn
