一、内容概括
XSS漏洞利用和漏洞防御。
二、重要知识和细节
- XSS漏洞利用原理:
- XSS钓鱼:制作钓鱼网站,同时通过XSS漏洞传给受害者用户进行钓鱼获取信息;
- 漏洞防御:
①CSP (Content Security Policy 内容安全策略)
内容安全策略是一种可信白名单机制,来限制网站中是否可以包含某来源内容。 该制度明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单, 它的实现和执行全部由浏览器完成,开发者只需提供配置。服务端配置,客户端执行。
②HttpOnly
禁止页面的JavaScript访问带有HttpOnly属性的Cookie也可以直接在浏览器内为对应的 cookie 值赋予 httponly 属性。服务端配置,客户端执行。
③XSSFilter
检查用户输入的数据中是否包含特殊字符, 如<、>、’、”等。浏览器内置,客户端执行。
④实体化编码
对用户输入进行转义(如 < → <)。前端模板引擎(既可以是客户端也可以是服务端)配置和执行。
三、实操和作业
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
免责声明:
1、本论坛中所有用户发布的内容仅代表作者个人观点,与本网站立场无关,本站不对其真实性、完整性或观点承担任何责任。
2、本论坛所提供的全部信息与内容,不保证其准确性、完整性或时效性。因阅读或使用本站内容而产生的任何误导、损失或风险,本站概不承担任何连带或法律责任。
3、当国家司法、行政机关依照法定程序要求本论坛披露用户信息时,本站予以配合并因此免责。
4、因网络线路故障、技术问题、不可抗力或本站无法控制的其他原因导致的服务中断或暂停,本站不承担由此造成的任何直接或间接损失。
5、对于任何通过技术手段破坏、攻击本论坛系统或扰乱正常秩序的行为,本站有权采取包括但不限于限制账号、封禁账号、追究法律责任等措施。
