XSSCSRF

Posted 我是谁的谁

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSSCSRF相关的知识,希望对你有一定的参考价值。

原则: 不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中


1、将重要的cookie标记为http only,   这样的话javascript 中的document.cookie语句就不能获取到cookie了.
2、只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
3、对数据进行html Encode 处理
4、过滤或移除特殊的Html标签, 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for
5、过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

 

CSRF:http://www.jianshu.com/p/7f33f9c7997b

以上是关于XSSCSRF的主要内容,如果未能解决你的问题,请参考以下文章