热门标签
热门文章
- 1认识MyBatis与Mybatis-plus及两者的区别_mybatisplus mybatis 区别
- 2QT:自带框架安装包制作_installerscript.qs
- 3python错题集(1)_在python中,以下语句错误的是()。出+b=b. b=ac. b/=b+1ib+=1
- 4用VScode配置Python开发环境
- 5K8S+Dubbo+skywalking_empty watch file list. disabling
- 6学习HTML5不可错过的12家国外网站_html 外国人去哪学
- 7linux本地安装nginx教程
- 8论Flutter开发是如何被饿死的_flutter框架为什么凉了
- 9Error during WebSocket handshake: Unexpected response code: 200_unexpected server response: 200
- 10MySQL技术内幕:MySQL全文检索底层原理——详解_mysql全文索引 底层是倒排索引吗
当前位置: article > 正文
XSS攻击与防范_c# mvc 防止xss攻击
作者:花生_TL007 | 2024-02-22 18:49:21
赞
踩
c# mvc 防止xss攻击
XSS攻击:跨站脚本攻击(Cross Site Scripting),简单来说就是攻击者想尽一切办法将可执行的代码注入到网页中。
客户端的XSS攻击主要是DOM型,取出和执行恶意代码由浏览器端完成,属于JavaScript自身的安全漏洞。
服务端的XSS攻击主要分为:存储型与反射型。
防范方法:
1、转义字符
如escapeHTML() 方法将HTML元素编码,CSS编码,JS编码,URL编码等等,避免拼接HTML。
2、增加攻击难度(配置CSP)
CSP本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以被加载或执行,我们只需要配置规则,如何拦截是由浏览器实现,可以通过这种方式尽量减少XSS攻击。
1、设置HTTP Header中的 Content-Security-Policy
| Content-Security-Policy的值 | 含义 |
|---|---|
| default-src ‘self’ | 只允许加载本站资源 |
| img-src https://* | 只允许加载https协议图片 |
| child-src ‘none’ | 允许加载任何来源框架 |
2、设置meta标签方式
<meta charset="UTF-8" http-equiv="content-security-policy" content="child-src 'none';img-src https://*;">
- 1
3、校验信息
一些常见的数字、URL、电话号码、邮箱地址等。
开启浏览器XSS防御:Http Only Cookie,禁止JavaScript读取某些敏感Cookie
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/131115
