千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機(jī)構(gòu)
千鋒教育-做有情懷、有良心、有品質(zhì)的職業(yè)教育機(jī)構(gòu)
1. iframe
2. opener
3. CSRF(跨站請求偽造)
4. XSS(跨站腳本攻擊)
5. ClickJacking(點(diǎn)擊劫持)
6. HSTS(HTTP嚴(yán)格傳輸安全)
7. CND劫持 很難通過技術(shù)手段完全避免 XSS,但我們可以總結(jié)以下原則減少漏洞的產(chǎn)生:
- 利用模板引擎開啟模板引擎自帶的HTML轉(zhuǎn)義功能。例如: 在ejs中,盡量使用 <%= data %>而不是 <%- data %>;在doT.js 中,盡量使用 {{! data } 而不是 {{= data };在 FreeMarker中,確保引擎版本高于 2.3.24,并且選擇正確的 freemarker.core.OutputFormat。
- 避免內(nèi)聯(lián)事件 盡量不要使用 onLoad="onload('{{data}}')"、onClick="go('{{action}}')" 這種拼接內(nèi)聯(lián)事件的寫法。在 JavaScript 中通過 .addEventlistener() 事件綁定會(huì)更安全。
- 避免拼接HTML前端采用拼接HTML的方法比較危險(xiǎn),如果框架允許,使用createElement、 setAttribute 之類的方法實(shí)現(xiàn)。或者采用比較成熟的渲染框架,如 Vue/React 等。
- 時(shí)刻保持警惕在插入位置為DOM屬性、鏈接等位置時(shí),要打起精神,嚴(yán)加防范。
- 增加攻擊難度,降低攻擊后果通過CSP、輸入長度配置、接口安全措施等方法,增加攻擊的難度,降低攻擊的后果。
- 主動(dòng)檢測和發(fā)現(xiàn) 可使用 XSS 攻擊字符串和自動(dòng)掃描工具尋找潛在的 XSS 漏洞。
相關(guān)推薦
限時(shí)學(xué)習(xí)福利
一鍵掃碼領(lǐng)取
Copyright 2011-2025北京千鋒互聯(lián)科技有限公司
京ICP備12003911號-12
京公網(wǎng)安備
11010802035719號
千鋒教育 運(yùn)營主體:北京千鋒互聯(lián)科技有限公司 ,屬具備計(jì)算機(jī)技術(shù)培訓(xùn)資質(zhì)的教育培訓(xùn)機(jī)構(gòu)。
