博客 / 詳情

返回

XSS和CSRF防禦的經典策略

XSS防禦

1、頁面端防禦

頁面端的XSS防禦的方法,主要是針對輸入和輸出。

一般是在輸入的時候進行校驗,輸出的時候進行轉義。

輸入端的校驗:

所有能輸入的數據,都要列為不可信的數據。在邏輯處理或者存儲之前,都要進行校驗。

校驗的規則儘可能採用白名單而不是黑名單,比如只允許哪些字符,其他字符則一律不通過。

輸出端的轉義:

主要是對準備輸出到html的字符進行轉義。特別是用了v-html的地方。

這裏的經典做法是,對特定字符進行html編碼轉義。

具體可參考下面的代碼:


詳情請查看: XSS和CSRF防禦的經典策略


csrf , xss
user avatar laughingzhu 頭像 chongdianqishi 頭像 buxia97 頭像 caideheirenyagao 頭像 tongouba 頭像 kuanrongdebeizi 頭像 compose_hub 頭像 opentiny 頭像 coypan 頭像 tinyang 頭像 hellotech 頭像
11 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.