issues
search
Mardanjan
/
Blog
学习笔记(在issues里),一些小demo的源码在这里,demo在线地址会持续更新
1
stars
0
forks
source link
前端安全之:XSS
#33
Open
Mardanjan
opened
4 years ago
Mardanjan
commented
4 years ago
XSS
通俗的讲:xss就是想尽一切办法,把你的代码在目标网站中目标用户的浏览器上解析执行即可
类型
反射型xss
发出请求时,xss代码出现在url中,作为输入提交到服务端,服务端解析后响应,在响应内容中出现这段xss代码,最后浏览器解析执行,
存储性xss
domxss
Mardanjan
commented
4 years ago
解决方法:
esapi
输入校验,长度限制,值类型是否正确,是否包含特殊字符如<>等,数据校验是对数据无害的,满足就放行,不满足就阻止,不需要过滤。
输出编码:根据输出的位置进行相应的编码,如html编码,JavaScript编码,url编码,原则就是:该数据不要超出自己所在的区域,也不要被当做指令执行
XSS
类型