XSS 防御方法总结

转自：https://www.cnblogs.com/digdeep/p/4695348.html

 

 

 

关闭浏览器xss拦截：

 

 

 

 

 

 

 

正则：匹配任何不可见字符，包括空格、制表符、换页符等等 使用\s表示。

（1）转字符转义在客户端或者服务端做都行。

（2）反转义

（3）domparse 去掉一些标签以及属性，以及完成dom配对和校验

 

 

梳理：

（1）移除用户上传的DOM属性，如onerror等

（2）移除用户上传的style节点，script节点，iframe节点等

（3）对用户输入的代码标签进行转换（html encode、回显decode）

（4）对url中的参数进行过滤

（5）对动态输出到页面的内容进行HTML编码

（6）服务端对敏感的Cookie设置 httpOnly属性，使js脚本不能读取到cookie

（7）CSP 即是 Content Security Policy

（8）nginx naxsi 中间件