防范XSS漏洞攻击的原则是什么?网络安全学习教程

  XSS即Cross Site Scripting,中文名称为跨站脚本攻击,那么你知道防范XSS漏洞攻击的原则包括哪些吗?以下是详细的内容介绍。

  XSS攻击主要是由程序漏洞造成的,要完全防止XSS安全漏洞主要是依靠程序员较高的编程能力和安全意识,当然安全的软件开发流程及其他一些编程安全原则也可以大大减少XSS安全漏洞的发生。防范XSS漏洞的原则包括这些:

  1、不信任用户提交的任何内容,对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。尽量采用POST而非GET提交表单,对<、>、;、,””等字符做过滤;任何内容输出到页面之前都必须加以en-code,避免不小心把htmltag显示出来。

  2、实现session标记、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行,对于用户提交信息中的img等link,检查是否有重定向回本站、不是真的图片等可疑操作。

  3、cookie防盗,避免直接在cookie中泄露用户隐私,比如email、密码等等;通过使cookie和系统ip绑定来降低cookie泄露后的风险,这样攻击者可以得到的cookie没有实际价值,很难拿来直接进行重放攻击。

  4、确认接收的内容被妥善地规范化,仅包含最小的、安全的tag,去掉任何对远程内容的引用,使用HTTPonly的cookie。

(0)

相关推荐

  • 密码安全与会话安全

    对于登录大家并不陌生,访问系统几乎都需要登录.因为系统也不知道是谁在访问,所以需要你告诉系统你是谁,还需要证明你真的是你,如何证明?给系统展示你的密码,因为密码只有你才拥有,你有这个密码,你就能证明你 ...

  • DDOS攻击分为哪些类型?网络安全学习教程

    DDOS攻击是网络安全课程中非常常见的一种攻击方式,它利用带宽的流量来攻击服务器以及网站,从而造成严重的危害,被分为七大类.那么DDOS攻击有什么分类?以下是详细的内容介绍. DDOS攻击有什么分类? ...

  • XSS攻击手段有哪些?网络安全入门教程

    跨站脚本攻击,简称XSS,是一种网站应用程序的安全漏洞攻击,属于代码注入的一种;与其他攻击相比,XSS攻击所带来的危害更大,那么常用的XSS攻击手段和目的有哪些?我们来看看详细的内容介绍. 人们经常将 ...

  • DOS攻击常见形式是什么?网络安全渗透教程

    谈及网络安全,相信很多人对它的了解都是非常模糊的,接下来小编为大家介绍一些网络安全知识问答,一起来看看吧. 什么是白帽黑客? 所谓的白帽黑客指当某个人被允许在企业产品所有者允许的情况下攻击系统,以便在 ...

  • 【网络安全学习教程】攻击方法常见名词解释,你了解多少?

    在学习网络安全的时候,大家肯定都会碰到比较陌生的词汇,比如:挂马.挖洞.加壳等.相信很多人对于这些陌生词汇都不太了解,所以小编为大家整理了一篇关于攻击方法常见名词解释的内容,我们一起来学习一下吧. 挂 ...

  • 零日漏洞(0day)是什么?如何防范零日攻击?

    [安全知识]2019-11-12 零日攻击是利用零日漏洞(0day)对系统或软件应用发动的网络攻击,近年来,零日攻击威胁在日益增长且难以防范,零日攻击已成为企业网络信息安全面临的最严峻的威胁之一.本文 ...

  • 网络安全软件/固件,防范勒索软件攻击的唯一手段?

    修复/感染后阶段是防范勒索软件攻击的关键阶段. " 作者 | 余快 近年来,利用勒索软件进行网络攻击的事件屡见不鲜.Colonial Pipeline攻击事件更是为企业机构敲响了警钟. 1 ...

  • 员工仲裁诉求37万,HR如何防范制度漏洞?

    是时候该谈谈人事制度了! 来源 / 金柚网(ID:MissU_app) 作者 / 唐唐 推荐阅读时长 / 5分钟 金柚创作营征文活动开启以来,在大家的积极参与下,收到了众多优质内容,本周开始,柚柚将持 ...

  • 干货!一文看懂漏洞攻击那些事儿

    IT服务圈儿 今天 以下文章来源于小白学黑客 ,作者小白 小白学黑客小白也能看懂的网络安全教程 作者丨小白 来源丨经授权转载自公众号 小白学黑客(ID:xiaobaihacker) 二进制漏洞的攻防对 ...

  • APT 黑客组织“螳螂”利用 ASP.NET 漏洞攻击IIS 服务器

    以色列网络安全公司 Sygnia 正在追踪名为"螳螂"或"TG2021"的ATP黑客组织,APT黑客组织"螳螂"利用微软的APS.NET漏洞 ...