首页 > 试题广场 >

Cookie如何防范XSS攻击

[问答题]

Cookie如何防范XSS攻击

添加回答
噼哩啪啦233头像 噼哩啪啦233
  1. 输入过滤
  2. 纯前端渲染,把代码和数据分隔开(预防存储型和反射型 XSS 攻击)
  3. 对 HTML 做充分转义(预防存储型和反射型 XSS 攻击)
  4. 避免js在字符串中拼接不可信数据(预防 DOM 型 XSS 攻击)
  5. Content Security Policy
  6. 输入内容长度控制
  7. HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie,攻击者完成 XSS 注入后也无法窃取此 Cookie。
  8. 验证码:防止脚本冒充用户提交危险操作。
发表于 2019-10-13 23:27:19 回复(0)
拯救世界的光太郎头像 拯救世界的光太郎
 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

XSS注入分类

1、存储型 XSS
2、反射型 XSS
3、DOM 型 XSS

XSS注入的方式有哪些?

  1. 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。[<script>alert(/xss/)</script>](加粗部分为键入内容,这些方式是可以组合使用的,例如:先使用">将 input 的标签进行闭合,然后通过这些方式进行XSS注入)
  2. 在标签属性中,恶意内容包含引号,从而突破属性值的限制,注入其他属性或者标签。[<input type="text" οnkeydοwn="alert(/xss/)">]
  3. 在标签的 href、src 等属性中,包含 javascript: 等可执行代码。[<a href="javascript:alert(/xss/)">touch me!</a>]
  4. 在 onload、onerror、onclick 等事件中,注入不受控制代码。[<img src='./smile.jpg' οnmοuseοver='alert(/xss/)'>]
  5. 在 style 属性和标签中,包含类似 background-image:url("javascript:..."); 的代码(新版本浏览器已经可以防范)。[<div style="background-image:url(javascript:alert(/xss/))">]

XSS因为种类比较多,预防方式有很多种。针对不同的注入方式,要选择不同的预防方式,由于方式太多了,就不一一列举了,有兴趣的同学可以参考一下这篇文章,写的还是挺详细的:
《XSS攻击的简单总结-(基础篇)》

https://blog.csdn.net/qq_44647809/article/details/115227862

编辑于 2021-04-17 23:42:26 回复(0)
ByteSing头像 ByteSing
这个答案应该是针对CSRF的吧,防范XSS不应该是对特殊标签(< > &)进行过滤或者转义吗?
发表于 2019-07-19 16:38:22 回复(3)
stone_ye头像 stone_ye
这个是后端人员的责任啊
发表于 2021-07-08 01:58:59 回复(0)
努力赚钱的小曾头像 努力赚钱的小曾
<p>xss跨站脚本攻击,指的是在html中注入攻击代码</p><p>在请求头中设置httponly</p>
发表于 2020-08-29 15:14:59 回复(0)
录音_笑头像 录音_笑
<script>alert("test XSS")</script>
发表于 2020-04-04 01:45:00 回复(0)
太阳煮的酒头像 太阳煮的酒

XSS(跨站脚本攻击)是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,通常需要在HTTP的头部配上:Set-Cookie=<cookie-value>

发表于 2019-09-29 16:10:43 回复(0)
提交观点

问题信息

上传者:小小
难度:
7条回答 4879浏览

热门推荐

相关试题

扫一扫,把题目装进口袋

求职之前,先上牛客

扫描二维码,进入QQ群

扫描二维码,关注牛客公众号