如何防止跨站脚本攻击?
如何防止跨站脚本攻击?
什么是跨站脚本攻击(XSS)?如何防止跨站脚本攻击? - 华为
从Web程序开发角度,需要遵循安全开发原则,采取措施防止跨站脚本攻击:
- 对用户输入进行验证和过滤,验证输入是否符合预期格式,过滤掉一些特殊字符和标签(例如<script>)避免注入恶意脚本。
- 对用户输入进行转义,也就是将用户输入呈现给用户之前确保对其进行转义,例如将“>”转义为“>”,这样可以防止接收到的输入中的一些字符被解释为可执行代码,使恶意脚本失效。
- 对Cookie采取安全措施,例如设置HttpOnly Cookie属性防止JavaScript读取Cookie,避免用户身份验证令牌和敏感信息被窃取。
- 使用HTTP的响应头CSP(Concent Security Policy,内容安全策略)限制哪些资源可以被加载和执行,例如限制JavaScript的来源,从而防止恶意脚本注入。
- Web程序开发需要遵循OWASP的Cross Site Scripting Prevention Cheat Sheet(跨站脚本攻击预防备忘录),继承已有经验。
- 对Web程序进行渗透测试,加固跨站脚本漏洞。
从访问网站的用户角度,需要有风险意识,避免遭受跨站脚本攻击:
- 在浏览器中设置禁用脚本。
- 避免点击电子邮件、论坛中的不明链接。
- 及时更新软件及操作系统补丁。
- 安装杀毒软件。
原文地址:https://blog.csdn.net/qq_25467441/article/details/142631588
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!