Xss防护

Xss防护

  1. CSP安全策略,类似于黑名单,只允许加载本地图片,外部链接图片无法链接防御成本极低,同时有很多指令,同源策略,可添加不同类型的指令实现不同的要求。(同源策略:同端口,同协议,同域名)
  2. HTTP only,禁止使用:document.cookie,用于防止cookie被盗

Xss靶场:xss-labs靶场,没有HTTP only与CSP,只有关键字过滤形式的防御。

HTTP only与CSP无法绕过。

代码审计(白盒测试)比黑盒测试要难。

Xss漏洞掌握程度取决于js的掌握度。

2024年3月9日星期六

相关推荐
Kx…………11 分钟前
Uni-app入门到精通:uni-app的基础组件
前端·css·学习·uni-app·html
巴巴博一14 分钟前
keep-alive缓存
前端·javascript·vue.js·缓存·typescript
Tipriest_23 分钟前
【前端扫盲】postman介绍及使用
前端·测试工具·postman
wuaro1 小时前
JS的深浅拷贝
前端·javascript·html
Hamm1 小时前
用一种全新的方式来实现i18n,和魔法字符串彻底说拜拜
前端·vue.js·typescript
摸鱼仙人~2 小时前
React: hook相当于函数吗?
前端·javascript·react.js
百锦再2 小时前
React编程高级主题:错误处理(Error Handling)
前端·javascript·react.js·前端框架·vue·web·angular
阿里巴巴首席技术官2 小时前
CSS 高级用法
前端·css
墨绿色的摆渡人2 小时前
论文笔记(七十五)Auto-Encoding Variational Bayes
前端·论文阅读·chrome
今晚吃什么呢?2 小时前
前端面试题之CSS中的box属性
前端·css