XSSの分類と防御策

XSS は 3 つのカテゴリに分類されます。

• 反映 XSS (非永続) リクエストを行うと、 が表示されます。 URL に含まれ、入力としてサーバーに送信されます。サーバーは解析して応答します。XSS コードは、応答コンテンツとともにブラウザに送り返されます。最後に、ブラウザは XSS コードを解析して実行します。このプロセスは反射に似ているため、反射型 XSS と呼ばれます。

• 保存型 XSS (永続) 保存型 XSS と反映型 XSS の唯一の違いは、送信されたコードがサーバー側 (データベース、メモリ、ファイル システムなど) に保存されることです。対象ページを初めてリクエストする場合、XSS コードを送信する必要はありません。

• DOM 解析は完全にクライアントの問題です。

#XSS 防御対策:

• フィルターエスケープ入力および出力

• 文字列がユーザー入力と無関係であることが確実でない限り、文字列を実行するために eval や new Function などのメソッドを使用しないでください

• Cookie の httpOnly 属性を使用して Cookie を追加しますこの属性を持つフィールド。js の読み取りと書き込みはできません。

• innerHTML と document.write を使用する場合、データがユーザーによって入力される場合、オブジェクトのキー文字をフィルタリングして、エスケープ

推奨チュートリアル:

Web サーバー セキュリティ

以上がXSSの分類と防御策の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。