【网络安全一百问-11】如何有效防御XSS?

请先 登录 后评论

最佳答案 2022-08-09 15:39

  1. 对输入(用户输入、GET请求、POST请求、Ajax请求)进行过滤:用白名单或黑名单过滤危险字符,比如:将危险的半角字符转为全角字符

  2. 对输出进行编码转义:根据数据在HTML上下文中出现的不同位置(HTML标签、HTML属性、JavaScript脚本、CSS、URL),来进行恰当处理

  3. 合理设置CSP(内容安全策略):它的本质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单

  4. 合理设置X-Xss-Protection:它是 Internet Explorer、Chrome 和 Safari 的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。

  5. Cookie设置http-only

    6.引用第三方组件来防御,如果是Java语言则引用Jsoup


请先 登录 后评论

其它 3 个回答

3r1cCheng

对用户输入的字符进行实体编码转换

请先 登录 后评论
耳双

1、添加httpONLY

2、对用户传入的参数进行实体化编码

3、标签事件的白名单

请先 登录 后评论
u52663873380211

简单的来讲就是,过滤用户的输入,对用户的输入进行转义

请先 登录 后评论

相似问题