Xss防护

片片叶2024-03-10 16:41

Xss防护

  1. CSP安全策略,类似于黑名单,只允许加载本地图片,外部链接图片无法链接防御成本极低,同时有很多指令,同源策略,可添加不同类型的指令实现不同的要求。(同源策略:同端口,同协议,同域名)
  2. HTTP only,禁止使用:document.cookie,用于防止cookie被盗

Xss靶场:xss-labs靶场,没有HTTP only与CSP,只有关键字过滤形式的防御。

HTTP only与CSP无法绕过。

代码审计(白盒测试)比黑盒测试要难。

Xss漏洞掌握程度取决于js的掌握度。

2024年3月9日星期六

相关推荐
天天扭码1 分钟前
从数组到对象:JavaScript 遍历语法全解析(ES5 到 ES6 + 超详细指南)
前端·javascript·面试
拉不动的猪3 分钟前
前端开发中常见的数据结构优化问题
前端·javascript·面试
街尾杂货店&3 分钟前
css word
前端·css
Мартин.6 分钟前
[Meachines] [Hard] CrimeStoppers LFI+ZIP-Shell+Firefox-Dec+DLINK+rootme-0.5
前端·firefox
冰镇生鲜7 分钟前
快速静态界面 MDC规则约束 示范
前端
技术与健康20 分钟前
【解读】Chrome 浏览器实验性功能全景
前端·chrome
Bald Monkey27 分钟前
【Element Plus】解决移动设备使用 el-menu 和 el-sub-menu 时,子菜单需要点击两次才会隐藏的问题
前端·elementui·vue·element plus
小小小小宇1 小时前
PC和WebView白屏检测
前端
天天扭码1 小时前
ES6 Symbol 超详细教程:为什么它是避免对象属性冲突的终极方案?
前端·javascript·面试
小矮马1 小时前
React-组件和props
前端·javascript·react.js
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03我决定放弃搞 Java 了04YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06DeepSeek各版本说明与优缺点分析07西电B测-计算机网络综合实验(含验收问题)08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09苍穹外卖面试总结10最新 Kubernetes 集群部署 + flannel 网络插件(保姆级教程,最新 K8S 版本)