Contenu connexe
Similaire à Web前端 安全须知 拔赤
Similaire à Web前端 安全须知 拔赤 (10)
Web前端 安全须知 拔赤
- 9. XSS
恶意html/js脚本
程序漏洞
Hack.run()
Web page
- 11. XSS-基于DOM的XSS
产生原因
当web page含有一些不受服务器端控制的DOM
的时候发生
通过form、referer、location修改页面DOM
解决方法
避免客户端的脚本对DOM的重写、重定向及其
它敏感的操作,需要在客户端对form输入进行
过滤
- 15. XSS-持久性跨站
产生原因
其破坏页面html结构的原理和非持久XSS一
样,只是危险脚本来源不是query字符,而是
数据库数据
解决办法
对输入进行过滤
对输出进行编码
- 17. XSS-基于flash的跨站
产生原因
As脚本可以接受用户输入并操作cookie,攻
击者可以配合其他XSS方法将恶意swf文件嵌入
页面中
解决办法
严格管理cookie的读写权限
对flash能接受的用户输入进行过滤和限定
- 20. XSS-Cookie构成的跨站
产生原因
破坏页面结构的原理和非持久跨站一致
Js或as可操作cookie,通过cookies提交query
解决办法
一切来自客户端的cookie是不可信的,后端必
须对客户端cookie做验证
- 26. 淘宝对CSRF的防范
在表单中指定token
<input type=”hidden” value=”{$token}” name="_tb_token_">
在cookie中指定_tb_token_
尽量使用POST方法
Ajax时附带token
- 29. Javascript安全须知 续
禁止发送页面相关信息到第三方站点
如果JSON返回的信息里含有用户的私密信息,
需要加_tb_token_
禁止使用script标签来达到跨域访问的目的,应
当使用flash实现跨域访问,可信域之间的跨域
可以使用iframe
所有使用的数据必须经过服务端的验证。
js代码需要经过jslint的测试