XSS漏洞之防御手段:
1)CSP内容安全策略
Content Security Policy
禁止加载外域代码,防止复杂的攻击逻辑。
禁止外域提交,网站被攻击后,用户的数据不会泄露到外域。
禁止内联脚本执行(规则较严格,目前发现 GitHub 使用)。
禁止未授权的脚本执行(新特性,Google Map 移动版在使用)。
2)通过设置HttpOnly防止cookie被窃取
3)输入输出检查(包括前端js和后端php)
https://www.cnblogs.com/zzjdbk/p/12987069.html
4)可以采用白名单验证或者黑名单验证方法。
• 白名单验证:对用户提交的数据进行检查,只接受指定长度范围内、采用适当格式和预期
字符的输入,其余一律过滤。
• 黑名单验证:对包含XSS代码特征的内容进行过滤,如“<”、 “>”、”script”、”#”
等。
• 对所有输出字符进行HTML编码。