2016 - 2024

感恩一路有你

xss过滤器详解 防止XSS攻击该如何做?

浏览量:1829 时间:2021-03-16 14:05:59 作者:admin

防止XSS攻击该如何做?

为了防止XSS攻击,我们需要掌握以下原则:

在HTML标记之间插入不可信数据时,我们需要用HTML实体对这些数据进行编码。

将不受信任的数据插入HTML属性时,这些数据用HTML属性编码。

将不受信任的数据插入脚本时,脚本会对数据进行编码。

将不受信任的数据插入样式属性时,数据是CSS编码的。

将不受信任的数据插入HTML URL时,数据是URL编码的。

使用富格文本时,使用XSS规则引擎进行编码和过滤

XSS攻击,即跨站点脚本,不与级联样式表(CSS)的缩写混淆。XSS是一种经常出现在web应用程序中的计算机安全机制。

XSS攻击时是怎么绕过htmlspecialchars函数的?

不幸的是,htmlspecialchars函数只能在特定情况下绕过。

htmlspecialchars()函数将预定义字符转换为HTML实体,从而使XSS攻击无效。但是,此函数的默认配置不会过滤单引号(”),只会将quotestyle选项设置为ENT,单引号在引用时会被过滤掉,但单引号仍然可以用来关闭事件,然后插入恶意XSS代码。

如下图所示(图来自网络,已删除)

xss过滤器详解 xss过滤器 urlxss过滤器

版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。