摘要:
本人最近在学习XSS,想总结一下常见的XSS攻击的几种情况,刚好看到《防御XSS的七条原则》这篇文章,里面讲的七条防御原则不正是针对XSS的几种利用方式吗?于是,借来学习一下。 原则1:“Secure By Default”不要在页面中插入任何不可信数据,除非这些数已经据根据下面几个原则进行了编码 之所以有这样一条原则存在,是因为HTML里有太多的地方容易形成XSS漏洞,而且形成漏洞的原因又有差别,比如有些漏洞发生在HTML标签里,有些发生在HTML标签的属性里,还有的发生在页面的 3 4 插入到HTML注释里 5 6 7 插入到HTML标签的属性名里 8 9 1... 阅读全文
