網站(zhàn)XSS跨站(zhàn)腳本<>漏洞的(de)解決方案有(yǒu)哪些(xiē)
2019-03-02
XSS跨站(zhàn)腳本漏洞使得(de)攻擊者可(kě)以欺騙用(yò♦©ng)戶訪問(wèn)包含惡意JavaScript代碼的(de)頁面,使得(d'ε♥e)惡意代碼在用(yòng)戶浏覽器(qì)中執行(xíng),從(có∏×÷₽ng)而導緻目标用(yòng)戶權限被盜取或數(shù)據被篡改。
網站(zhàn)XSS跨站(zhàn)腳本漏洞的★> (de)解決方案:
1、如(rú)果輸入的(de)所有(yǒu)字樣都(dōu)是≤←≥(shì)可(kě)疑的(de),可(kě)以對(duì)所有(yǒu₹←)輸入中的(de)script、iframe等字樣嚴格的(de)檢查。這(z§₩ hè)裡(lǐ)的(de)輸入不(bù)僅僅是(≥ shì)用(yòng)戶可(kě)以直接交互的(de)輸入₩♥§✘接口,也(yě)包括HTTP請(qǐng)求中的(de)Cookie中→ ☆的(de)變量,HTTP請(qǐng)求頭部中的₹≠✔α(de)變量等。
2、驗證數(shù)據類型需要(yào)擴展,比如(₽'rú):驗證其格式、長(cháng)度、範圍和(hé)內(nèi)容等。
3、客戶端做(zuò)數(shù)據的(deφ•)驗證與過濾時(shí),關鍵的(de)過濾步驟在服務端進行(xíng)。
4、對(duì)輸出的(de)數(shù)據嚴格檢查,數(shù)據庫裡(♦ δlǐ)的(de)值有(yǒu)可(kě)能(n£αδéng)會(huì)在一(yī)個(gè)大¶↔↔(dà)網站(zhàn)的(de)多(d☆€∏♥uō)處都(dōu)有(yǒu)輸出,即使在輸入做(zuò)了(l™"e)編碼等操作(zuò),在各處的(de)輸出點時(shí)也(y÷♦↔ě)要(yào)進行(xíng)安全檢查。
5、網站(zhàn)發布前,需要(yào)先檢測所有(yǒu)可(k>βλ™ě)能(néng)性的(de)威脅。
