赞
踩
XSS攻击:跨站脚本攻击(Cross Site Scripting),简单来说就是攻击者想尽一切办法将可执行的代码注入到网页中。
客户端的XSS攻击主要是DOM型,取出和执行恶意代码由浏览器端完成,属于JavaScript自身的安全漏洞。
服务端的XSS攻击主要分为:存储型与反射型。
如escapeHTML() 方法将HTML元素编码,CSS编码,JS编码,URL编码等等,避免拼接HTML。
CSP本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以被加载或执行,我们只需要配置规则,如何拦截是由浏览器实现,可以通过这种方式尽量减少XSS攻击。
1、设置HTTP Header中的 Content-Security-Policy
Content-Security-Policy的值 | 含义 |
---|---|
default-src ‘self’ | 只允许加载本站资源 |
img-src https://* | 只允许加载https协议图片 |
child-src ‘none’ | 允许加载任何来源框架 |
2、设置meta标签方式
<meta charset="UTF-8" http-equiv="content-security-policy" content="child-src 'none';img-src https://*;">
一些常见的数字、URL、电话号码、邮箱地址等。
开启浏览器XSS防御:Http Only Cookie,禁止JavaScript读取某些敏感Cookie
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。