xss防御措施:1、不要在允許位置插入不可信數(shù)據(jù);2、在向html元素內(nèi)容插入不可信數(shù)據(jù)前對HTML解碼;3、在向HTML常見屬性插入不可信數(shù)據(jù)前進(jìn)行屬性解碼;4、在向HTML URL屬性插入不可信數(shù)據(jù)前進(jìn)行URL解碼。
xss指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。
xss防御措施
下列規(guī)則旨在防止所有發(fā)生在應(yīng)用程序的XSS攻擊,雖然這些規(guī)則不允許任意向HTML文檔放入不可信數(shù)據(jù),不過基本上也涵蓋了絕大多數(shù)常見的情況。
1、不要在允許位置插入不可信數(shù)據(jù)。
2、在向HTML元素內(nèi)容插入不可信數(shù)據(jù)前對HTML解碼。
3、在向HTML常見屬性插入不可信數(shù)據(jù)前進(jìn)行屬性解碼。
4、在向HTML JavaScript Data Values插入不可信數(shù)據(jù)前,進(jìn)行JavaScript解碼。
5、在向HTML 樣式屬性值插入不可信數(shù)據(jù)前,進(jìn)行css解碼。
6、在向HTML URL屬性插入不可信數(shù)據(jù)前,進(jìn)行URL解碼。
? 版權(quán)聲明
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載。
THE END
