今天学习了XSS的防御法则。
- XSS的防御的复杂的。主要有三个基础方法:httponly,标签白名单,对字符的编码或转义。
1.httponly:在set-cookie时添加httponly标记,将cookike与客户端ip绑定。但可以通过盗取IP,模拟IP破解。
2.标签白名单:用户输入数据(富文本等)时只对一些简单无危害的标签通过。但存在一些敏感字符,筛选后会改变本来意图。
3.字符的编码或转义:在输出到HTML时,对一些可能出现XSS的标签做编码或转义。在不同的场合分别使用HTMLENCODE或者JSENCODE。有时候需要分别使用这两个编码,比如在对付DOM XSS时。 - xss漏洞虽然复杂种类繁多,但是可以彻底解决。在不同场合使用不同方法,方法之间相互配合。
把博客的ICON改成一个非常可爱的小猪。
今天的歌是:悲しみはオーロラに。有多少愿望能传到未知的明天呢?