XSS跨站指令碼攻擊原理及防護方法
阿新 • • 發佈:2019-02-13
其次,通過使cookie和系統ip繫結來降低cookie洩露後的危險。這樣攻擊者得到的cookie沒有實際價值,不可能拿來重放。
3.儘量採用POST而非GET提交表單
POST操作不可能繞開javascript的使用,這會給攻擊者增加難度,減少可利用的跨站漏洞。
4.嚴格檢查refer
檢查http refer是否來自預料中的url。這可以阻止第2類攻擊手法發起的http請求,也能防止大部分第1類攻擊手法,除非正好在特權操作的引用頁上種了跨站訪問。
5.將單步流程改為多步,在多步流程中引入效驗碼多步流程中每一步都產生一個驗證碼作為hidden表單元素嵌在中間頁面,下一步操作時這個驗證碼被提交到伺服器,伺服器檢查這個驗證碼是否匹配。首先這為第1
6.引入使用者互動簡單的一個看圖識數可以堵住幾乎所有的非預期特權操作。
7.只在允許anonymous訪問的地方使用動態的javascript。
8.對於使用者提交資訊的中的img等link,檢查是否有重定向回本站、不是真的圖片等可疑操作。
9.內部管理網站的問題很多時候,內部管理網站往往疏於關注安全問題,只是簡單的限制訪問來源。這種網站往往對XSS攻擊毫無抵抗力,需要多加註意。安全問題需要長期的關注,從來不是一錘子買賣。XSS攻擊相對其他攻擊手段更加隱蔽和多變,和業務流程、程式碼實現都有關係,不存在什麼一勞永逸的解決方案。此外,面對XSS
3.儘量採用POST而非GET提交表單
POST操作不可能繞開javascript的使用,這會給攻擊者增加難度,減少可利用的跨站漏洞。
4.嚴格檢查refer
檢查http refer是否來自預料中的url。這可以阻止第2類攻擊手法發起的http請求,也能防止大部分第1類攻擊手法,除非正好在特權操作的引用頁上種了跨站訪問。
5.將單步流程改為多步,在多步流程中引入效驗碼多步流程中每一步都產生一個驗證碼作為hidden表單元素嵌在中間頁面,下一步操作時這個驗證碼被提交到伺服器,伺服器檢查這個驗證碼是否匹配。首先這為第1
6.引入使用者互動簡單的一個看圖識數可以堵住幾乎所有的非預期特權操作。
7.只在允許anonymous訪問的地方使用動態的javascript。
8.對於使用者提交資訊的中的img等link,檢查是否有重定向回本站、不是真的圖片等可疑操作。
9.內部管理網站的問題很多時候,內部管理網站往往疏於關注安全問題,只是簡單的限制訪問來源。這種網站往往對XSS攻擊毫無抵抗力,需要多加註意。安全問題需要長期的關注,從來不是一錘子買賣。XSS攻擊相對其他攻擊手段更加隱蔽和多變,和業務流程、程式碼實現都有關係,不存在什麼一勞永逸的解決方案。此外,面對XSS