防范跨站脚本攻击(XXS)的关键手段

1:加强对提交信息和页面显示信息的过滤,让非法提交内容无处施展;

2:让存储在cookie中的sessionid 无法被js 读取到。

 

如今的xss

相比网上很多资料中,在技术上已经发生了很大变化。由于各大网站加强了对于js脚本、html标签等关键信息的过滤,单纯依靠植入javascript代码很难实施攻击。

PC端页面,一些视频类、页游网站存在大量的flash内嵌在页面中,可以尝试将flash代码植入,往往可以规避网站安全过滤。移动端页面,可以植入native代码(android系统植入java,ios系统植入oc)。

posted @ 2018-11-17 11:29  吖水的程序路  阅读(687)  评论(0编辑  收藏  举报