XSS漏洞修复
2015-09-16 10:40
387 查看
原则: 不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中
将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
对数据进行Html Encode 处理
过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, " for
过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。
注意: 攻击代码不一定在<script></script>中
将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
对数据进行Html Encode 处理
过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, " for
过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。
相关文章推荐
- jQuery实现手机版页面翻页效果。
- How to generate Hibernate mapping files & annotation with Hibernate Tools
- RAD0.1 RB.1/.2
- STL中的常用算法
- QQ分享无法回调的问题
- CodeForcesGym 100735D Triangle Formation
- iOS 蓝牙4.0(BLE)后台或者锁屏也可以接收数据的方法
- 插件一:JAVA微信砍价活动源码分享[商品帮砍到0元,免费领取奖品]
- (大数据分析-1)HDFS Review
- c++primer:string.size()
- 高仿微信上传头像附带压缩,旋转图片,附加demo
- Ubuntu上ROS系统安装与备份
- Android开发之应用管理(RecyclerView的不同position使用不同的View)
- iOS 9正式版开始推送 升级机型非常广泛
- 网站被跳转以后的代码
- centOS中mysql一些常用操作
- 沙盒
- TCP/IP协议栈分析详解(二)
- TCP/IP协议栈分析详解(一)
- git常用命令