首页 > 试题广场 >

有效防止XSS的手段有哪些?

[不定项选择题]

有效防止XSS 的手段有哪些? 

  • 过滤用户请求中的非法字符
  • 对请求中的特殊字符进行转译
  • 配置CSP(Content Security Policy)
  • 通过预编译来防止
查看正确选项
添加回答
gaussyuan头像 gaussyuan
关于预编译可参考: https://zhuanlan.zhihu.com/p/50236805
发表于 2021-10-07 20:03:19 回复(0)
知来者犹可追头像 知来者犹可追

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。防止XSS攻击的方式:

  • HTML 转义

  • 预防 DOM 型 XSS 攻击。尽量使用 .textContent、.setAttribute() 等,在使用 .innerHTML、.outerHTML、document.write() 时要特别小心,不要把不可信的数据作为 HTML 插到页面上

  • 严格的 CSP :
    • 禁止加载外域代码,防止复杂的攻击逻辑。
    • 禁止外域提交,网站被攻击后,用户的数据不会泄露到外域。
    • 禁止内联脚本执行(规则较严格,目前发现 GitHub 使用)。
    • 禁止未授权的脚本执行
  • 输入内容长度控制
  • HTTP-only Cookie

在处理输入时,以下内容都不可信:

  • 来自用户的 UGC 信息
  • 来自第三方的链接
  • URL 参数
  • POST 参数
  • Referer (可能来自不可信的来源)
  • Cookie (可能来自其他子域注入)
发表于 2022-05-17 16:27:51 回复(0)
提交观点

问题信息

小米集团 前端工程师 2021
上传者:小小
难度:
2条回答 862浏览

热门推荐

相关试题

扫一扫,把题目装进口袋

求职之前,先上牛客

扫描二维码,进入QQ群

扫描二维码,关注牛客公众号