【網路安全入門】你知道防範XSS漏洞攻擊的原則有哪些嗎?

老男孩IT教育機構 發表於 2021-10-25

  XSS即Cross Site Scripting,中文名稱為跨站指令碼攻擊,那麼你知道防範XSS漏洞攻擊的原則包括哪些嗎?以下是詳細的內容介紹。

  XSS攻擊主要是由程式漏洞造成的,要完全防止XSS安全漏洞主要是依靠程式設計師較高的程式設計能力和安全意識,當然安全的軟體開發流程及其他一些程式設計安全原則也可以大大減少XSS安全漏洞的發生。防範XSS漏洞的原則包括這些:

  1、不信任使用者提交的任何內容,對所有使用者提交內容進行可靠的輸入驗證,包括對URL、查詢關鍵字、HTTP頭、REFER、POST資料等,僅接受指定長度範圍內、採用適當格式、採用所預期的字元的內容提交,對其他的一律過濾。儘量採用POST而非GET提交表單,對<、>、;、,””等字元做過濾;任何內容輸出到頁面之前都必須加以en-code,避免不小心把htmltag顯示出來。

  2、實現session標記、CAPTCHA系統或者HTTP引用頭檢查,以防功能被第三方網站所執行,對於使用者提交資訊中的img等link,檢查是否有重定向回本站、不是真的圖片等可疑操作。

  3、cookie防盜,避免直接在cookie中洩露使用者隱私,比如email、密碼等等;通過使cookie和系統ip繫結來降低cookie洩露後的風險,這樣攻擊者可以得到的cookie沒有實際價值,很難拿來直接進行重放攻擊。

  4、確認接收的內容被妥善地規範化,僅包含最小的、安全的tag,去掉任何對遠端內容的引用,使用HTTPonly的cookie。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2839112/,如需轉載,請註明出處,否則將追究法律責任。