1.xss防御的总体思路是:对用户的输入(和URL参数) 进行过滤,对输出进行html编码,也就是对用户的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出页面的内容进行html编码,使脚本无法在浏览器中执行。
2.对输入的内容进行过滤,可以分为黑名单过滤和白名单过滤,黑名单虽然可以拦截大部分的xss攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝xss攻击,但是真实环境中一般是不能进行如此严格的白名单过滤的。
3.对输出进行html编码,就是通过函数,将用户的输入的数据进行html编码,使其不能作为脚本运行。
使用htmlspecialchars函数对用户输入的name进行html编码,将其转换为html编码。
还可以在服务器端设置会话cookie的http only属性,这样,客户端的js脚本就不能获取cookie信息了。
4.修复总结
因为xss漏洞涉及输入和输出两部分,所以修复也分为两种。
A:过滤输入的数据,包括<>等非法字符。
B:对输出到页面的数据进行相应的编码转换,包括html实体编码,javascript编码等。
xss防御
最新推荐文章于 2023-06-10 16:41:01 发布