XSS攻击是一个很老的话题了,通常都认为是比较好防范的,但是却很容易忽视,所以今天又来总结下。
关于攻击的总类以及概念不做过多解读了,网上基本一大把,我这里总结下防御方案。XSS攻击是很危险,并且很容易出现,浏览器也做了安全限制,防止跨域访问数据,但是我们都知道jsonp可以饶过这些限制,所以就有了session劫持。
第一层防御:
在服务端对提交的数据包含URL,header,做一个安全检查过滤,百分之90的攻击可以避免了。这是保护的第一道屏障。
第二层防御:
也叫被动防御,包括服务器本身的网络环境的安全,要保证服务器本身是安全的,不会被注入脚本代码、
第三层防御:
这一层防御被破坏,危害很大,基本能达到攻击目的,比如session劫持。所以我们将放入cookie的关键信息最好设置为httpOnly,这样就不会被脚本获取到,而只能通过http的方式传入本域的服务器。防止session劫持的方案可以将 cookie的安全级别设为httpOnly,这样的话通过脚本无法获取session。在web.xml中加入如下设置。
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
如果是HTTPS,我们还可以设置的更严格,将属性设置为secure,这样的话不仅脚本不能访问cookie,连http都无法传递这个cookie值,只能以HTTPS传输。
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
相关推荐
新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受...
下面,我们将结合标题“谈一谈网络编程学习经验”以及描述中的数字串(可能是随机输入或者错误),探讨网络编程学习的一些关键知识点。 首先,基础理论是学习网络编程的基石。你需要理解网络的基本概念,如OSI七层...
- **常见威胁**:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等。 - **防御措施**:输入验证、输出编码、使用HTTPS等。 **3. 正则表达式** - **定义**:一种模式匹配工具,用于查找、替换或解析字符串中的特定...
XSS攻击是另一种常见的安全问题,它允许攻击者通过在网页中注入恶意脚本来影响用户。这些脚本可能窃取用户的会话cookie、执行其他恶意行为或篡改页面内容。 例如,给定的PHP代码: ```php if(empty($_POST['sub'])...
- **XSS与AJAX**:XSS攻击主要发生在前端,AJAX请求的处理过程中如果不进行适当的输入验证和输出编码,可能会成为XSS的入口。因此,对用户输入进行严格的过滤和编码至关重要。 - **SQL注入与AJAX**:如同普通的HTTP...
2. 安全性:虽然数据存储在本地,但它们仍可能受到跨站脚本攻击(XSS)的影响,因此需要确保数据的安全处理。 3. 隐私:用户可能对数据存储有所顾虑,开发者需尊重用户隐私,并在必要时提供清除本地存储数据的选项。 ...
浅谈Web应用的网络安全.pdf 本文对Web应用的网络安全进行了详细的讨论,从Web技术的发展、管理到安全方面都进行了阐述。文章首先介绍了Web技术在商业活动上的使用和普及,然后提到了Web应用系统的漏洞问题,接着...
在此博客文章中,我想谈一谈使用blazor进行表单验证。 由于在blazor中还没有官方的验证框架,所以我决定自己构建它。 这是实际验证的示例: 那么这是如何工作的呢? 我的blazor组件如下所示: @page " /validation ...
### 浅谈HTML转义及防止JavaScript注入攻击的方法 #### 一、HTML转义的概念 在Web开发中,用户输入的数据经常会直接展示在网页上,例如在评论区、聊天室等场景。如果用户输入的数据中包含HTML标签或者JavaScript...
这些库自身的安全问题也可能影响到整个应用的安全性,因此保持库的更新至关重要。 8. **代码审计与最佳实践**:开发人员应遵循最佳安全实践,包括对用户输入进行严格的验证,使用安全的编程模式,避免硬编码敏感...
《RFID安全浅谈》是关于网络攻防实训的一个重要话题,主要涵盖了Web安全的相关领域。RFID(Radio Frequency Identification)技术,即无线射频识别,已经在诸多领域得到广泛应用,如物流、零售、医疗等。然而,随着...
一:Attribute的几种用法和含义(attributes和Attribute都是用来操作属性的) getAttribute:获取某一个属性的值; setAttribute:建立一个属性,并同时给属性捆绑一个... <div xss=removed><input type = "hidden
此外,移动Web开发架构的设计也需要考虑安全性,因为移动设备经常连接到各种网络,并且携带大量个人数据,安全性问题不容忽视。开发者需要采取合适的安全措施,如数据加密、防止跨站脚本攻击(XSS)和跨站请求伪造...
例如,钓鱼网站是XSS攻击的典型例子,设计者需要通过各种手段提醒用户,教育用户避免点击可疑链接,尤其是输入敏感信息时必须确认链接的官方性。此外,设计者还需要关注用户下载链接的安全性,防止用户无意中下载...
对于JSP来说,主要的威胁包括跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)等。为了防御这些攻击,开发者应遵循最佳实践,例如:对用户输入进行严格的校验和转义,使用预编译的SQL语句以防止SQL注入,使用...
ASP.NET MVC是一个用于构建Web应用程序的开源框架,它强调模型-视图-控制器(MVC)设计模式。虽然ASP.NET MVC提供了强大的开发灵活性,但同时也意味着开发人员需要更加关注应用程序的安全性,因为它不像ASP.NET Web ...
然而,WebStorage存储的数据往往未加密,这为XSS(跨站脚本攻击)提供了可乘之机,攻击者可以通过注入恶意脚本,窃取存储在LocalStorage中的敏感数据,例如用户登录令牌或者其他重要信息。 二、丰富多样的APP验证...
在“胡珀谈安全运营.pdf”文档中,胡珀(lake2),腾讯公司安全平台部总监,结合自身在腾讯公司安全团队的实践经验,讲述了他对安全运营的理解,分享了在安全运营过程中的一些重要思路和实践案例。 首先,胡珀介绍...
注入是一种常见的安全漏洞,其中SQL注入最为人所熟知。攻击者通过在应用程序的输入字段中插入恶意SQL代码来操纵数据库,以此来读取、修改或删除敏感信息。例如,在登录表单中,如果应用程序没有对用户的输入进行足够...
在《Web安全架构浅谈》中,主要讨论了Web安全的多个方面,包括安全架构、扫描器、WAF(Web应用防火墙)以及面临的挑战和解决方案。以下是详细的知识点解析: 1. **Web安全扫描器**: - 扫描器用于检测Web应用中的...