前端安全之：XSS - Githubissues

Mardanjan / Blog

学习笔记（在issues里），一些小demo的源码在这里，demo在线地址会持续更新

1 stars 0 forks source link

前端安全之：XSS #33

Open Mardanjan opened 4 years ago

Mardanjan commented 4 years ago

XSS

通俗的讲：xss就是想尽一切办法，把你的代码在目标网站中目标用户的浏览器上解析执行即可

类型

反射型xss
发出请求时，xss代码出现在url中，作为输入提交到服务端，服务端解析后响应，在响应内容中出现这段xss代码，最后浏览器解析执行，
存储性xss
domxss

Mardanjan commented 4 years ago

解决方法：

esapi
输入校验，长度限制，值类型是否正确，是否包含特殊字符如<>等，数据校验是对数据无害的，满足就放行，不满足就阻止，不需要过滤。
输出编码：根据输出的位置进行相应的编码，如html编码，JavaScript编码，url编码，原则就是：该数据不要超出自己所在的区域，也不要被当做指令执行