机构档案
  • 机构级别:普通会员
  • 信用等级:

在线交谈:点击这里给我发消息

咨询热线:18710030740

快速报名,会有咨询师与您联系

学校评价(我要提问/点评)

  • 学校被点评:0
  • 好评(0%)
  • 中评(0%)
  • 差评(0%)

资料认证

    未通过身份证认证 未通过身份证认证

    未通过办学许可认证 未通过办学许可认证

  • 学校浏览人次:
  • 加盟时间:2021年10月14日
最新动态

防范XSS漏洞的原则包括哪些?老男孩渗透测试培训班

发布者:老男孩教育 发布时间:2021-10-25 来源:老男孩教育

XSS即Cross Site Scripting,中文名称为跨站脚本攻击,那么你知道防范XSS漏洞攻击的原则包括哪些吗?以下是详细的内容介绍。

XSS攻击主要是由程序漏洞造成的,要完全防止XSS安全漏洞主要是依靠程序员较高的编程能力和安全意识,当然安全的软件开发流程及其他一些编程安全原则也可以大大减少XSS安全漏洞的发生。防范XSS漏洞的原则包括这些:

1、不信任用户提交的任何内容,对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。尽量采用POST而非GET提交表单,对<、>、;、,””等字符做过滤;任何内容输出到页面之前都必须加以en-code,避免不小心把htmltag显示出来。

2、实现session标记、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行,对于用户提交信息中的img等link,检查是否有重定向回本站、不是真的图片等可疑操作。

3、cookie防盗,避免直接在cookie中泄露用户隐私,比如email、密码等等;通过使cookie和系统ip绑定来降低cookie泄露后的风险,这样攻击者可以得到的cookie没有实际价值,很难拿来直接进行重放攻击。

4、确认接收的内容被妥善地规范化,仅包含最小的、安全的tag,去掉任何对远程内容的引用,使用HTTPonly的cookie。

更多网络安全学习内容,建议关注老男孩教育网络安全培训课程。我校网络安全培训课程经过多年教学沉淀,杜绝纸上谈兵,结合理论讲授企业实战案例,帮助更多学员成为优秀的网络安全工程师。