XSS跨站点脚本攻击解决方案
2012-07-12 23:09
435 查看
XSS跨站点脚本攻击解决方案
如果用户表单输入一些内容,……特别是一些内容比较多的表单项,且无固定格式 ,如地址,文章内容……此时用户可以输入JS代码等来执行
STEP1:在设计方案上,输入项要尽可能检测格式并限制长度。要有服务端检测,不能依赖客户端检测。在数据库设计上要限制字段长度……
输出页面时需要进行HTML转码,如输出地址内容
<td ><%=convert.html(cus.getAddress())%></td >
public static String html(String content) {
if(content==null) return "";
String html = content;
html = html.replaceAll( "&", "&"); //替换&号
html = html.replace( """, """); //" 替换双引号
html = html.replace( "t", " ");// 替换跳格
html = html.replace( " ", " ");// 替换空格
html = html.replace("<", "<");
html = html.replaceAll( ">", ">");
return html;
}
有些人是在入库的时候做HTML编码,这样与原意不付,应该在出库的时候转码,如果输出载体为HTML页面,则进行HTML转码……。如果是用户控件一类的,就可以不做HTML转码了。
真正麻烦的是,在一些场合我们要允许用户输入HTML,又要过滤其中的脚本。Tidy 等HTML 清理库可以帮忙……本文不讨论这种情况 ……
STEP2: 检测
主要对用户输入内容在显示时的页面进行检测,照上面列个清单出来
STEP3:检测结果纪录表
STEP4: 根据检测结果做修复,在纪录表上记录修复结果
STEP5:复测,在纪录表上记录复测结果
如果用户表单输入一些内容,……特别是一些内容比较多的表单项,且无固定格式 ,如地址,文章内容……此时用户可以输入JS代码等来执行
STEP1:在设计方案上,输入项要尽可能检测格式并限制长度。要有服务端检测,不能依赖客户端检测。在数据库设计上要限制字段长度……
输出页面时需要进行HTML转码,如输出地址内容
<td ><%=convert.html(cus.getAddress())%></td >
public static String html(String content) {
if(content==null) return "";
String html = content;
html = html.replaceAll( "&", "&"); //替换&号
html = html.replace( """, """); //" 替换双引号
html = html.replace( "t", " ");// 替换跳格
html = html.replace( " ", " ");// 替换空格
html = html.replace("<", "<");
html = html.replaceAll( ">", ">");
return html;
}
有些人是在入库的时候做HTML编码,这样与原意不付,应该在出库的时候转码,如果输出载体为HTML页面,则进行HTML转码……。如果是用户控件一类的,就可以不做HTML转码了。
真正麻烦的是,在一些场合我们要允许用户输入HTML,又要过滤其中的脚本。Tidy 等HTML 清理库可以帮忙……本文不讨论这种情况 ……
STEP2: 检测
主要对用户输入内容在显示时的页面进行检测,照上面列个清单出来
STEP3:检测结果纪录表
STEP4: 根据检测结果做修复,在纪录表上记录修复结果
STEP5:复测,在纪录表上记录复测结果
相关文章推荐
- 考虑使用AntiXss.HtmlEncode方法来防止跨站点脚本攻击
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
- Java防止跨站脚本(XSS)注入攻击
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- Java防止跨站脚本(XSS)注入攻击
- XSS 跨域脚本攻击解决方案
- 跨站点脚本攻击(XSS)深入解析
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
- 怎样过滤跨站恶意脚本攻击(XSS)
- PHP预防跨站脚本(XSS)攻击且不影响html代码显示效果
- 深入解析跨站点脚本攻击XSS
- 跨站点脚本攻击XSS
- 【安全牛学习笔记】XSS-简介、跨站脚本检测和常见的攻击利用手段
- 跨站点脚本攻击(XSS)防护 XSS HTMLFilter
- 【安全牛学习笔记】XSS-简介、跨站脚本检测和常见的攻击利用手段
- PHP的$_SERVER['PHP_SELF']造成的XSS漏洞攻击及其解决方案
- asp.net防止XSS(脚本)攻击
- 跨脚本攻击之反射型xss
- ASP.Net的validateRequest属性与跨站点脚本攻击
- 【转载】IBM Rational AppScan:跨站点脚本攻击深入解析