防止XSS攻击
我们在开发网站时要做好防御措施,具体措辞有以下几种
- 可以从浏览器的执行来进行防御,一种是使用纯前端的方式,不用服务端拼接返回(不使用服务端渲染),另一种是对需要插入到html中的代码做好充分的转义。DOM型的攻击,主要是前端脚本的不可靠造成的,对于数据获取渲染和字符串拼接的时候应该对可能出现的恶意代码情况进行判断
- 使用CSP,CSP是内容安全策略,CSP的本质是建立一个白名单,告诉浏览器哪些外部资源可以加载和执行,从而防止恶意代码的注入攻击
- 对一些敏感信息进行保护,比如cookie使用http-only,使脚本无法获取,也可以使用验证码避免脚本伪装成用户执行一些操作
如何开启CSP
通常有两种方式
1、设置HTTP首部中的content-security-policy
2、设置meta的标签的方式 < meta http-equiv=“content-security-policy”>