2赞

如何避免"跨站点脚本攻击"

作者：帆侮听我悄悄说星星 | 2023-07-03 09:14

如何解决《如何避免"跨站点脚本攻击"》经验，为你挑选了2个好方法。

你如何避免跨站点脚本攻击？

跨站点脚本攻击(或跨站点脚本)是指您的主页上有一个留言板,并且客户发布了一些javascript代码,其中fx将您重定向到另一个网站或通过电子邮件将您的cookie发送给恶意用户或它可能是很多其他的东西,可以证明是真正有害于你和访问你的页面的人.

我相信它可以做到fx.在PHP中通过验证表单,但我没有经验足够fx.禁止javascript或其他可能伤害你的东西.

我希望你理解我的问题,你能帮助我.

1> bobince..：

我相信它可以做到fx.在PHP中通过验证表单

并不是的.输入阶段完全是解决XSS问题的错误地方.

如果用户输入,比如输入,则本身没有任何问题.我刚刚在这条消息中做到了,如果StackOverflow不允许它,我们在网站上谈论JavaScript时会遇到很大困难!在大多数情况下,您希望允许任何输入(*),以便用户可以使用<字符来表示小于号.

问题是,当您将一些文本写入HTML页面时,您必须正确地将其转义为它所进入的上下文.对于PHP,这意味着htmlspecialchars()在输出阶段使用:

Hello, !

[PHP提示:您可以自己定义一个名称较短的函数echo htmlspecialchars,因为每次要将变量放入某些HTML时,都要进行大量的输入.

无论文本来自何处,无论是否来自用户提交的表单,这都是必要的.虽然用户提交的数据是忘记HTML编码的最危险的地方,但关键是你要用一种格式的字符串(纯文本)并将其插入另一种格式(HTML)的上下文中.无论何时将文本放入不同的上下文,您都需要一个适合该上下文的编码/转义方案.

For example if you insert text into a JavaScript string literal, you would have to escape the quote character, the backslash and newlines. If you insert text into a query component in a URL, you will need to convert most non-alphanumerics into %xx sequences. Every context has its own rules; you have to know which is the right function for each context in your chosen language/framework. You cannot solve these problems by mangling form submissions at the input stage—though many naïve PHP programmers try, which is why so many apps mess up your input in corner cases and still aren't secure.

(*: well, almost any. There's a reasonable argument for filtering out the ASCII control characters from submitted text. It's very unlikely that allowing them would do any good. Plus of course you will have application-specific validations that you'll want to do, like making sure an e-mail field looks like an e-mail address or that numbers really are numeric. But this is not something that can be blanket-applied to all input to get you out of trouble.)

2> danben..：

当服务器接受来自客户端的输入然后盲目地将该输入写回页面时,就会发生跨站点脚本攻击(XSS).大多数针对这些攻击的保护涉及转义输出,因此Javascript变成纯HTML.

要记住的一件事是,不仅是直接来自客户端的数据可能包含攻击.一个存储的XSS攻击需要编写恶意的JavaScript到一个数据库,其内容,然后由Web应用程序查询.如果数据库可以与客户端分开编写,则应用程序可能无法确定数据是否已正确转义.因此,Web应用程序应将其写入客户端的所有数据视为可能包含攻击.

有关如何保护自己的详尽资源,请参阅此链接:http://www.owasp.org/index.php/XSS_( Cross_Site_Scripting) _prevention_Cheat_Sheet

推荐阅读

程序员
最终参数在哪里存储在匿名类实例中？

如何解决《最终参数在哪里存储在匿名类实例中？》经验，为你挑选了1个好方法。 ... [详细]
程序员
如何使用java中的REGEX从字符串解析浮点值

如何解决《如何使用java中的REGEX从字符串解析浮点值》经验，为你挑选了1个好方法。 ... [详细]
程序员
如何在PHP中以DD-MMM-YY格式获取实际日期？

如何解决《如何在PHP中以DD-MMM-YY格式获取实际日期？》经验，为你挑选了2个好方法。 ... [详细]
程序员
在jquery中更改多个div位置

如何解决《在jquery中更改多个div位置》经验，为你挑选了1个好方法。 ... [详细]
程序员
iOS应用更新大小远大于应用大小

如何解决《iOS应用更新大小远大于应用大小》经验，为你挑选了1个好方法。 ... [详细]
程序员
指定使用jar文件的通用文件路径

如何解决《指定使用jar文件的通用文件路径》经验，为你挑选了1个好方法。 ... [详细]
程序员
Windows批处理字符串替换在变量给出搜索字符串时不起作用

如何解决《Windows批处理字符串替换在变量给出搜索字符串时不起作用》经验，为你挑选了0个好方法。 ... [详细]
程序员
有没有办法在Elixir中检查函数的arity？

如何解决《有没有办法在Elixir中检查函数的arity？》经验，为你挑选了1个好方法。 ... [详细]
程序员
暂停ansible playbook以进行用户确认,是否运行休息任务

如何解决《暂停ansibleplaybook以进行用户确认,是否运行休息任务》经验，为你挑选了1个好方法。 ... [详细]
程序员
ggplot2垂直线未插入所需位置

如何解决《ggplot2垂直线未插入所需位置》经验，为你挑选了1个好方法。 ... [详细]
程序员
使用Docker Hub和私有映像的Kubernetes PullImageError

如何解决《使用DockerHub和私有映像的KubernetesPullImageError》经验，为你挑选了2个好方法。 ... [详细]
程序员
Rest API的swagger和loopback之间的区别

如何解决《RestAPI的swagger和loopback之间的区别》经验，为你挑选了2个好方法。 ... [详细]
程序员
scanf和格式有关吗？

如何解决《scanf和格式有关吗？》经验，为你挑选了1个好方法。 ... [详细]
程序员
整数除法SQL查询产生意外的小数位数

如何解决《整数除法SQL查询产生意外的小数位数》经验，为你挑选了1个好方法。 ... [详细]
程序员
是否可以从.NET中的REST API获取复杂的Entity Framework对象而无需创建ViewModel对象？

如何解决《是否可以从.NET中的RESTAPI获取复杂的EntityFramework对象而无需创建ViewModel对象？》经验，为你挑选了0个好方法。 ... [详细]
程序员
使用Symfony从安全位置提供文件

如何解决《使用Symfony从安全位置提供文件》经验，为你挑选了1个好方法。 ... [详细]
程序员
使用正则表达式从Google BigQuery中的字符串中提取数字

如何解决《使用正则表达式从GoogleBigQuery中的字符串中提取数字》经验，为你挑选了1个好方法。 ... [详细]
程序员
功能或阶级之外的"超级"

如何解决《功能或阶级之外的"超级"》经验，为你挑选了1个好方法。 ... [详细]
程序员
从Python 2移植到Python 3:'utf-8编解码器无法解码字节'

如何解决《从Python2移植到Python3:'utf-8编解码器无法解码字节'》经验，为你挑选了1个好方法。 ... [详细]
程序员
将非单调转换为R中的单调数据

如何解决《将非单调转换为R中的单调数据》经验，为你挑选了1个好方法。 ... [详细]

帆侮听我悄悄说星星

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

RankList | 热门文章