上篇讲解了XSS的危害,name在开发网站时就要做好防御措施,具体措施如下:
- 可以从浏览器的执行来进行预防,一种是使用纯前端的方式,不用服务器端拼接后返回(不适用服务器端渲染)。另一种是对需要插入到HTML中的代码进行充分地转义。对于DOM型的攻击,主要是前端脚本的不可靠而造成的,对于数据获取和字符串贫瘠的时候应该对可能的恶意代码情况进行判断。
- 使用CSP;CSP的本质是简历一个白名单,告诉浏览器那些外部资源可以加载和执行,从而防止恶意代码的注入攻击。
什么是CSP?
- CSP指的是内容安全策略,他的本质是建立一个白名单,告诉浏览器那些外部资源可以加载和执行。我们只需要配置规则,如何拦截由浏览器自己来实现。
- 通常有两种方法实现开启CSP,一种是设置HTTP首部中的Content-Security-Policy,一种是设置meta标签的方式<meta http-equiv="Content-Security-Policy">
- 对一些敏感信息进行保护,比如cookie使用http-only,使得脚本无法获取,也可以使用验证码,避免脚本伪装成用户执行一些操作;
