Xss防护

片片叶2024-03-10 16:41

Xss防护

  1. CSP安全策略,类似于黑名单,只允许加载本地图片,外部链接图片无法链接防御成本极低,同时有很多指令,同源策略,可添加不同类型的指令实现不同的要求。(同源策略:同端口,同协议,同域名)
  2. HTTP only,禁止使用:document.cookie,用于防止cookie被盗

Xss靶场:xss-labs靶场,没有HTTP only与CSP,只有关键字过滤形式的防御。

HTTP only与CSP无法绕过。

代码审计(白盒测试)比黑盒测试要难。

Xss漏洞掌握程度取决于js的掌握度。

2024年3月9日星期六

相关推荐
Daybreak3 分钟前
Mobile 端 AI 请求真机调试:从"线上没日志"到四层问题定位
前端
Wect18 分钟前
LeetCode 97. 交错字符串:动态规划详解
前端·算法·typescript
木斯佳27 分钟前
前端八股文面经大全:字节暑期前端一面(2026-04-24)·面经深度解析
前端
凯瑟琳.奥古斯特28 分钟前
Redis是什么及核心特性
前端·css·redis·缓存
架构源启30 分钟前
OpenClaw 只能手动写脚本?我用 Chrome 插件实现了“录制即生成“
前端·人工智能·chrome·自动化
yingyima1 小时前
正则表达式实战:如何高效清洗脏数据
前端
兔子零10241 小时前
Ofox AI值得用吗?
前端·javascript·后端
We་ct1 小时前
React 性能优化精讲
前端·javascript·react.js·性能优化·前端框架·html·浏览器
云动课堂1 小时前
【运维实战】Nginx 高性能Web服务 · 一键自动化部署方案 (适配银河麒麟 V10 / openEuler / CentOS 7/8)
运维·前端·nginx
大前端helloworld3 小时前
AI全自动实现Flutter蓝牙自动连接
前端
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03裂开!ChatGPT 居然开始要手机号验证,附详细解决方法04【AI】2026 年具身智能模型和世界模型总结05Codex 接入 DeepSeek API 完整配置文档062026年4月AI大事件深度解读:大模型竞争进入“深水区“07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲082026年AI前瞻:量子AI、具身智能与科学发现的新纪元09零基础教你claude code 接入 deepseek V410在Windows 11上安装Docker的踩坑记录