Web 安全:预防 XSS,这几招管用!

Posted 程序员泥瓦匠

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Web 安全:预防 XSS,这几招管用!相关的知识,希望对你有一定的参考价值。


最近重温了一下「黑客帝国」系列电影,一攻一防甚是精彩,生活中我们可能很少有机会触及那么深入的网络安全问题,但工作中请别忽略你身边的精彩

Web 安全:预防 XSS,这几招管用!

大家应该都听过 XSS (Cross-site scripting) 攻击问题,或多或少会有一些了解,但貌似很少有人将这个问题放在心上。一部分人是存有侥幸心理:“谁会无聊攻击我们的网站呢?”;另一部分人可能是工作职责所在,很少触碰这个话题。希望大家看过这篇文章之后能将问题重视起来,并有自己的解决方案, 目前XSS攻击问题依旧很严峻:

Cross-site scripting(XSS)是Web应用程序中常见的一种计算机安全漏洞,XSS 使攻击者能够将客户端脚本注入其他用户查看的网页中。攻击者可能会使用跨站点脚本漏洞绕过访问控制,例如同源策略。截至2007年,Symantec(赛门铁克) 在网站上执行的跨站脚本占据了所有安全漏洞的 84% 左右。2017年,XSS 仍被视为主要威胁载体,XSS 影响的范围从轻微的麻烦到重大的安全风险,影响范围的大小,取决于易受攻击的站点处理数据的敏感性方式以及站点所有者实施对数据处理的安全策略。

XSS 类型的划分以及其他概念性的东西在此就不做过多说明,Wikipedia Cross-site scripting 说明的非常清晰,本文主要通过举例让读者看到 XSS 攻击的严重性,同时提供相应的解决方案

XSS 案例

不用看 XSS 案例的,请跳过此处,直接去跳到「解决方案」内容 。Bob 和 Alice 两个人是经常用作案例(三次握手,SSH认证等)说明的,没错下面的这些案例也会让他们再上头条

以上是关于Web 安全:预防 XSS,这几招管用!的主要内容,如果未能解决你的问题,请参考以下文章

浅谈Web前端安全策略xss和csrf,及又该如何预防?

5 Go与微信开发与Web安全

5 Go与微信开发与Web安全

5 Go与微信开发与Web安全

5 Go与微信开发与Web安全

JavaScript安全性问题与最佳预防做法