Web应用安全：XSS对策的基础.pptx

XSS对策的基础 1 输入过滤 目录 2 输出转义 输入过滤 常见的Web漏洞如XSS、SQL Injection等，都要求攻击者构造一些特殊字符，这些特殊字符可能是正常用户不会用到的，所以输入检查就有存在的必要了。 输入检查，在很多时候也被用于格式检查。 例如，用户在网站注册时填写的用户名，会被要求只能为字母、数字的组合。比如 ”hello1234“ 是一个合法的用户名，而”hello#$^"就是一个非法的用户名。这些格式检查，有点像白名单，也可以让一些基于特殊字符的攻击失效。 1.输入检查 输入过滤 输入检查的逻辑，必须放在服务器端代码中实现。 如果只是在客户端使用JavaScript进行输入检查，是很容易被攻击者绕过的。 目前Web开发的普遍做法，是同时在客户端JavaScript中和服务器代码中实现相同的输入检查。 客户端JavaScript的输入检查，可以阻挡大部分误操作的正常用户，从而节约服务器资源。 1.输入检查 输入过滤 前端渲染的过程：浏览器先加载一个静态 HTML，此 HTML 中不包含任何跟业务相关的数据然后浏览器执行 HTML 中的 JavaScriptJa