XSS、CSRF

原则: 不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中


1、将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
2、只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
3、对数据进行Html Encode 处理
4、过滤或移除特殊的Html标签, 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for
5、过滤JavaScript 事件的标签。例如 "onclick=", "onfocus" 等等。

 

CSRF:http://www.jianshu.com/p/7f33f9c7997b

posted on 2017-11-03 15:37  D-Z-K  阅读(139)  评论(0编辑  收藏  举报

导航