(1) .使用XSS Filter
作用:过滤用户(客户端)提交的有害信息,从而达到
防范XSS攻击的效果
【1】.输入过滤
"永远不要相信用户的输入"
是网站开发的基本常识
对于用户输入一点要多次深入过滤
===输入验证
输入验证就是对用户提交的信息进行有效验证
仅接受指定长度范围内的,采用适当格式的内容提交
组织或者忽略初次之外的其他任何数据
=输入是否包含合法的字符
=输入字符串是否超过最大长度限制
=输入结果如果为数字,数字是否在指定范围内
=输入是否符合特殊的格式要求 E-mail地址
===数据消毒
过滤和净化点有害的输入
【2】.数据消毒
HTML编码主要是一个对应的HtMl 实体代替字符
【3】.黑白名单
不管是采用输入过滤还是输出编码
都是针对数据信息进行黑白名单式的过滤
(2) .防御DOM-XSS
避免客户端文档重写,重定向或其他敏感操作
版权声明:本文为weixin_45540964原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。