網(wǎng)站XSS跨站腳本漏洞的解決方案有哪些
2019-03-02
XSS跨站腳本漏洞使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁面�,使得惡意代碼在用戶瀏覽器中執(zhí)行��,從而導致目標用戶權(quán)限被盜取或數(shù)據(jù)被篡改�。
網(wǎng)站XSS跨站腳本漏洞的解決方案:
1���、如果輸入的所有字樣都是可疑的,可以對所有輸入中的script��、iframe等字樣嚴格的檢查�����。這里的輸入不僅僅是用戶可以直接交互的輸入接口����,也包括HTTP請求中的Cookie中的變量�����,HTTP請求頭部中的變量等���。
2�����、驗證數(shù)據(jù)類型需要擴展�����,比如:驗證其格式���、長度����、范圍和內(nèi)容等���。
3���、客戶端做數(shù)據(jù)的驗證與過濾時,關(guān)鍵的過濾步驟在服務端進行�。
4、對輸出的數(shù)據(jù)嚴格檢查�,數(shù)據(jù)庫里的值有可能會在一個大網(wǎng)站的多處都有輸出,即使在輸入做了編碼等操作�����,在各處的輸出點時也要進行安全檢查���。
5����、網(wǎng)站發(fā)布前,需要先檢測所有可能性的威脅���。
