金融项目开发～安全之xss

金融项目开发～安全之xss

xss是跨站脚本攻击的简称 往往是攻击者输入的脚本决定攻击的力度 简单的就是一个js弹框,为了检测系统有没有xss漏洞～ 其他的还有嵌入ifrom，img一类的～ 危害是可以窃取用户cookie～伪造用户登陆～ 发生这种原因一般都是用户输入了脚本被浏览器执行了～ 如果你要想预防这种情况～ 不要尝试在输入端去解决攻击，貌似不是太好～ 网络上很多介绍在输入端做检测做判断～ 但是在输入端做检测的话， 一是代码量繁杂，其次黑客总是想着如何绕过判断，而且一些未知的xss漏洞也发现不了～ 反其道而行～在输出端作处理～ 推荐使用OWASP提供的ESAPI函数库～ 处理输出～就能很好的防护xss了 防止cookie被窃取用httponly可以解决，将关键的cookie用httponly

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。