修复XSS跨站漏洞

本文转载自查看原文 2018-11-03 23:02 2157 Web学习记录/ XSS/ WEB学习

XSS跨站漏洞最终形成的原因是对输入与输出没有严格过滤。

1、输入与输出

在HTML中，<,>,",',&都有比较特殊的意义。HTML标签，属性就是由这几个符合组成的。PHP中提供了 htmlspecialchars()、htmlentities()函数可以把一些预定的字符转换为HTML实体。

&成为&

"成为"

'成为'

<成为<

成为>

2、HttpOnly

HttpOnly对防御XSS漏洞不起作用，主要是为了解决XSS漏洞后续的Cookie劫持攻击。

HttpOnly用来阻止客户端脚本访问Cookie。带有HttpOnly的Cookie将不能被JavaScript获取。

HttpOnly只是防御Cookie盗取的一种手段，并不是绝对安全，防御XSS的关键还是要靠过滤输入与输出。

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 Nginx 防止跨站脚本 Cross-Site Scripting (XSS)（漏洞修复）跨站脚本漏洞(XSS)基础 jQuery导致的XSS跨站漏洞 XSS 跨站脚本攻击漏洞如何检测网站是否存在XSS跨站漏洞 XSS(跨站脚本攻击)漏洞解决方案 DVWA-xss反射型(跨站脚本漏洞) SpringBoot 解决跨站脚本漏洞（XSS）问题渗透测试学习十七、 XSS跨站脚本漏洞详解原理篇—XSS 跨站脚本漏洞