Xss防护

片片叶2024-03-10 16:41

Xss防护

  1. CSP安全策略,类似于黑名单,只允许加载本地图片,外部链接图片无法链接防御成本极低,同时有很多指令,同源策略,可添加不同类型的指令实现不同的要求。(同源策略:同端口,同协议,同域名)
  2. HTTP only,禁止使用:document.cookie,用于防止cookie被盗

Xss靶场:xss-labs靶场,没有HTTP only与CSP,只有关键字过滤形式的防御。

HTTP only与CSP无法绕过。

代码审计(白盒测试)比黑盒测试要难。

Xss漏洞掌握程度取决于js的掌握度。

2024年3月9日星期六

相关推荐
程序员Forlan1 分钟前
fiddler+手机或模拟器进行APP抓包
前端·智能手机·fiddler
aidou13144 分钟前
Vue3自定义实现日期选择器(可单选或多选)
前端·javascript·vue.js·日期选择器·transition
绝世唐门三哥26 分钟前
OpenClaw 安装 + 手动配置 DeepSeek 模型(2026.4.5 版)
前端·oepn claw
来一颗砂糖橘27 分钟前
吃透 ES6 扩展运算符(...):从表面语法到底层逻辑,避开所有坑
前端·javascript·es6·扩展运算符·前端进阶
前端小D32 分钟前
JS模块化
开发语言·前端·javascript
Muen39 分钟前
iOS开发-适配XCode26、iOS26
前端
卸任1 小时前
Electron霸屏功能总结
前端·react.js·electron
fengci.1 小时前
ctfshow黑盒测试前半部分
前端
喵个咪1 小时前
Headless 架构优势:内容与展示解耦,一套 API 打通全端生态
前端·后端·cms
小江的记录本1 小时前
【JEECG Boot】 JEECG Boot——数据字典管理 系统性知识体系全解析
java·前端·spring boot·后端·spring·spring cloud·mybatis
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)07UV安装并设置国内源08Oh My Codex 快速使用指南09Claude Code 未登录 使用第三方模型10【Vulhub】Fastjson 1.2.24_rce复现