網站(zhàn)XSS跨站(zhàn)腳本漏洞的(de)解決方案有(yǒu)哪些(xiē)
2019-03-02
XSS跨站(zhàn)腳本漏洞使得(de)攻擊者可(kě)以欺騙用(yòng)戶訪問(wèn)包含惡意JavaScript代碼的(de)頁面,使得(de)✘惡意代碼在用(yòng)戶浏覽器(qì)中執行(xíng),從(cóng)而導緻目标用(yòng)戶權限被盜取或數(shù)據被篡改。
網站(zhàn)XSS跨站(zhàn)腳本漏洞的(de)解決方案:
1、如(rú)果輸入的(de)所有(yǒu)字樣都(dōu)是(shì)可(kě)疑的(de),可(∞kě)以對(duì)所有(yǒu)輸入中的(de)script、iframe等字樣嚴格的(de)檢查。這(zhè)裡(lǐ) 的(de)輸入不(bù)僅僅是(shì)用(yòng)戶可(kě)以直接交互的(de)輸入接口,也(yě)包括HTTP請(qǐng)求中的(de)Cookie中的(de)變量,HTTP請(qǐng≥)求頭部中的(de)變量等。
2、驗證數(shù)據類型需要(yào)擴展,比如(rú):驗證其格式、長(cháng)度、範圍和(hσé)內(nèi)容等。
3、客戶端做(zuò)數(shù)據的(de)驗證與過濾時(shí),關鍵的(de)過濾步驟在服務端進行(xíng)。
4、對(duì)輸出的(de)數(shù)據嚴格檢查,數(shù)據庫裡(lǐ)的(de)值有(yǒu)可(kě)能(néng)會(huì)在一(yī)個(gεè)大(dà)網站(zhàn)的(de)多(duō)處都(dōu)有(yǒu)輸出,即使在輸入做(zuò)了(le₩)編碼等操作(zuò),在各處的(de)輸出點時(shí)也(yě)要(yào)進行(xíng)安全檢查。
5、網站(zhàn)發布前,需要(yào)先檢測所有(yǒu)可(kě)能(néng)性的(de)威脅。
