1. 程式人生 > >XSS、CSRF

XSS、CSRF

script 獲取 for code amp 不相信 cli xss .com

原則: 不相信客戶輸入的數據
註意: 攻擊代碼不一定在<script></script>中


1、將重要的cookie標記為http only, 這樣的話Javascript 中的document.cookie語句就不能獲取到cookie了.
2、只允許用戶輸入我們期望的數據。 例如: 年齡的textbox中,只允許用戶輸入數字。 而數字之外的字符都過濾掉。
3、對數據進行Html Encode 處理
4、過濾或移除特殊的Html標簽, 例如: <script>, <iframe> , &lt; for <, &gt; for >, &quot for

5、過濾JavaScript 事件的標簽。例如 "onclick=", "onfocus" 等等。

CSRF:http://www.jianshu.com/p/7f33f9c7997b

XSS、CSRF