安全测试 - XSS如何防御

XSS主要是通过劫持用户COOKIE，执行JS脚本进行攻击

 

如何发现：

可以使用<script>alert(/yourname/)</script> script最具有代表性
也可以使用其他标签 <b>asdasd</b> 看有没有效果, 闭合标签 >"<b>asdasd</b>
最核心的原理就是打破了页面布局，插入了自己定义的HTML标签

 

如何防御：

1. 设置HTTP ONLY

2. 对用户输入进行合法性校验，最好前端及后端均进行校验，至少后端需做校验，防止绕过，如长度、数字型

3. 进行HTML实体编码，如<转 '&lt；'，>转‘&gt；’

4. 白名单：过滤危险标签