Xss防护

Xss防护

  1. CSP安全策略,类似于黑名单,只允许加载本地图片,外部链接图片无法链接防御成本极低,同时有很多指令,同源策略,可添加不同类型的指令实现不同的要求。(同源策略:同端口,同协议,同域名)
  2. HTTP only,禁止使用:document.cookie,用于防止cookie被盗

Xss靶场:xss-labs靶场,没有HTTP only与CSP,只有关键字过滤形式的防御。

HTTP only与CSP无法绕过。

代码审计(白盒测试)比黑盒测试要难。

Xss漏洞掌握程度取决于js的掌握度。

2024年3月9日星期六

相关推荐
前端小巷子3 分钟前
Web开发中的文件下载
前端·javascript·面试
peakmain910 分钟前
Gradle 8.11.1的升级之旅
前端
一拳不是超人21 分钟前
PWA渐进式Web应用技术深度解析
前端·pwa
KaneLogger23 分钟前
视频转文字,别再反复拖进度条了
前端·javascript·人工智能
zwjapple7 小时前
docker-compose一键部署全栈项目。springboot后端,react前端
前端·spring boot·docker
像风一样自由20209 小时前
HTML与JavaScript:构建动态交互式Web页面的基石
前端·javascript·html
aiprtem10 小时前
基于Flutter的web登录设计
前端·flutter
浪裡遊10 小时前
React Hooks全面解析:从基础到高级的实用指南
开发语言·前端·javascript·react.js·node.js·ecmascript·php
why技术10 小时前
Stack Overflow,轰然倒下!
前端·人工智能·后端
GISer_Jing10 小时前
0704-0706上海,又聚上了
前端·新浪微博