suchen
HeimBetrieb und InstandhaltungSicherheitXSS-Klassifizierung und Abwehrmaßnahmen

XSS-Klassifizierung und Abwehrmaßnahmen

Jun 17, 2020 pm 05:27 PM
xss防御措施

XSS-Klassifizierung und Abwehrmaßnahmen

XSS ist in drei Kategorien unterteilt:

  • Reflected XSS (non-persistent) Wenn eine Anfrage gestellt wird, Der XSS-Code erscheint in der URL und wird als Eingabe an den Server übermittelt. Der XSS-Code wird zusammen mit dem Antwortinhalt an den Browser zurückgesendet. Dieser Prozess ähnelt einer Reflexion und wird daher als reflektierendes XSS bezeichnet.

  • Gespeichertes XSS (persistent) Der einzige Unterschied zwischen gespeichertem XSS und reflektiertem XSS besteht darin, dass der übermittelte Code auf der Serverseite (Datenbank, Speicher, Dateisystem usw.) gespeichert wird. wie folgt: Bei der ersten Anforderung der Zielseite muss kein XSS-Code übermittelt werden.

  • DOM XSS (Client) Der Unterschied zwischen DOM XSS, reflektiertem XSS und gespeichertem XSS besteht darin, dass der Code von DOM XSS nicht auf die Beteiligung des Servers angewiesen ist Das Parsen des DOM auf der Browserseite ist ausschließlich eine Client-Angelegenheit.

XSS-Verteidigungsmaßnahmen:

  • Fluchteingabe und -ausgabe filtern

  • Vermeiden Sie die Verwendung von Methoden wie eval und new Function zum Ausführen von Zeichenfolgen, es sei denn, Sie sind sicher, dass die Zeichenfolge nichts mit Benutzereingaben zu tun hat

  • Verwenden Sie das httpOnly-Attribut des Cookies und fügen Sie das hinzu Cookie-Feld mit diesem Attribut. js kann nicht gelesen und geschrieben werden

  • Wenn die Daten bei Verwendung von innerHTML und document.write vom Benutzer eingegeben werden, müssen die Objektschlüsselzeichen gefiltert werden entkommen

Empfohlenes Tutorial: Webserver-Sicherheit

Das obige ist der detaillierte Inhalt vonXSS-Klassifizierung und Abwehrmaßnahmen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme
Dieser Artikel ist reproduziert unter:掘金. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
4 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Beste grafische Einstellungen
4 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. So reparieren Sie Audio, wenn Sie niemanden hören können
4 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Chat -Befehle und wie man sie benutzt
4 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

SAP NetWeaver Server-Adapter für Eclipse

SAP NetWeaver Server-Adapter für Eclipse

Integrieren Sie Eclipse mit dem SAP NetWeaver-Anwendungsserver.

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

EditPlus chinesische Crack-Version

EditPlus chinesische Crack-Version

Geringe Größe, Syntaxhervorhebung, unterstützt keine Code-Eingabeaufforderungsfunktion

MinGW – Minimalistisches GNU für Windows

MinGW – Minimalistisches GNU für Windows

Dieses Projekt wird derzeit auf osdn.net/projects/mingw migriert. Sie können uns dort weiterhin folgen. MinGW: Eine native Windows-Portierung der GNU Compiler Collection (GCC), frei verteilbare Importbibliotheken und Header-Dateien zum Erstellen nativer Windows-Anwendungen, einschließlich Erweiterungen der MSVC-Laufzeit zur Unterstützung der C99-Funktionalität. Die gesamte MinGW-Software kann auf 64-Bit-Windows-Plattformen ausgeführt werden.