什么是XSS攻击,如何避免?
一. XSS攻击简介xss(Cross Site Scripting),即跨站脚本攻击,是一种常见于web应用程序中的计算机安全漏洞。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。
XSS就是通过在用户端注入恶意的可运行脚本,若服务端对用户的输入不进行处理,直接将用户的输入输出到浏览器,然后浏览器将会执行用户注入的脚本。 所以XSS攻击的核心就是浏览器渲染DOM的时候将文本信息解析成JS脚本从而引发JS脚本注入,那么XSS攻击的防御手段就是基于浏览器渲染这一步去做防御。只要我们使用HTML编码将浏览器需要渲染的信息编码后,浏览器在渲染DOM元素的时候,会自动解码需要渲染的信息,将上述信息解析成字符串而不是JS脚本,这就是我们防御XSS攻击的核心想法。
二. 预防措施
1. 获取用户的输入,不用innerHtml,用innerText;
2. 对用户的输入进行过滤,如对& < > " ' /等进行转义。
猜你喜欢LIKE
相关推荐HOT
更多>>什么是XSS攻击,如何避免?
所以XSS攻击的核心就是浏览器渲染DOM的时候将文本信息解析成JS脚本从而引发JS脚本注入,那么XSS攻击的防御手段就是基于浏览器渲染这一步去做防...详情>>
2022-11-17 11:36:00java入门基础知识
新手学习java会有一定的难度,初期阶段可能会不知道如何规划学习路线,建议大家可以上网直接寻找一些成熟的java学习大纲,比如一些java培训机...详情>>
2022-10-19 14:04:00怎么保证缓存和数据库数据的一致性?
选择先淘汰缓存,再更新数据库,假如先更新数据库再淘汰缓存,如果淘汰缓存失败,那么后面的请求都会得到脏数据,直至缓存过期。假如先淘汰缓存...详情>>
2022-10-10 09:51:00请解释自动装配模式的区别?
有五种自动装配的方式,可以用来指导 Spring 容器用自动装配方式来进行依赖注入。 1. no 默认的方式是不进行自动装配,通过显式设置ref属性来...详情>>
2022-10-10 09:50:00如何搭建一个高可用的系统?
高可用系统,就是说要保证系统在几乎任务时候都要有正常运行,功能正常。 我们来看下哪些情况会造成系统不可用。- 单机系统下的可用性问题,从n...详情>>
2022-10-10 09:50:00Java培训问答更多>>
新Java行业疑惑解答:Java的内存管理是如何工作的?
新java script是什么?为什么要学java script
新java和大数据哪个好?未来哪个职业发展更好
新java培训班多久能学会?培训周期大概多久
新java script和java的区别有哪些?如何区分
新java script的数据类型主要有哪些?怎样学的更快
新c语言与java区别在哪里?去培训机构学哪个比较好
Java面试题库 更多>>
华为外包java面试题-Java实现单链表的逆序
Java程序员面试题
Java面试题及答案
什么是线程的上下文切换?
如何撤销已经推送(push)到远端仓库的提交(commit)信息?
你了解哪些加密算法?
- 北京校区
- 大连校区
- 广州校区
- 成都校区
- 杭州校区
- 长沙校区
- 合肥校区
- 南京校区
- 上海校区
- 深圳校区
- 武汉校区
- 郑州校区
- 西安校区
- 青岛校区
- 重庆校区
- 太原校区
- 沈阳校区
- 南昌校区
- 哈尔滨校区