XSS-Klassifizierung und Abwehrmaßnahmen-Sicherheit-php.cn

Heim

Betrieb und Instandhaltung

Sicherheit

XSS-Klassifizierung und Abwehrmaßnahmen

王林

Jun 17, 2020 pm 05:27 PM

xss 防御措施

XSS-Klassifizierung und Abwehrmaßnahmen

XSS ist in drei Kategorien unterteilt:

Reflected XSS (non-persistent) Wenn eine Anfrage gestellt wird, Der XSS-Code erscheint in der URL und wird als Eingabe an den Server übermittelt. Der XSS-Code wird zusammen mit dem Antwortinhalt an den Browser zurückgesendet. Dieser Prozess ähnelt einer Reflexion und wird daher als reflektierendes XSS bezeichnet.
Gespeichertes XSS (persistent) Der einzige Unterschied zwischen gespeichertem XSS und reflektiertem XSS besteht darin, dass der übermittelte Code auf der Serverseite (Datenbank, Speicher, Dateisystem usw.) gespeichert wird. wie folgt: Bei der ersten Anforderung der Zielseite muss kein XSS-Code übermittelt werden.
DOM XSS (Client) Der Unterschied zwischen DOM XSS, reflektiertem XSS und gespeichertem XSS besteht darin, dass der Code von DOM XSS nicht auf die Beteiligung des Servers angewiesen ist Das Parsen des DOM auf der Browserseite ist ausschließlich eine Client-Angelegenheit.

XSS-Verteidigungsmaßnahmen:

Fluchteingabe und -ausgabe filtern
Vermeiden Sie die Verwendung von Methoden wie eval und new Function zum Ausführen von Zeichenfolgen, es sei denn, Sie sind sicher, dass die Zeichenfolge nichts mit Benutzereingaben zu tun hat
Verwenden Sie das httpOnly-Attribut des Cookies und fügen Sie das hinzu Cookie-Feld mit diesem Attribut. js kann nicht gelesen und geschrieben werden
Wenn die Daten bei Verwendung von innerHTML und document.write vom Benutzer eingegeben werden, müssen die Objektschlüsselzeichen gefiltert werden entkommen

Empfohlenes Tutorial: Webserver-Sicherheit

Das obige ist der detaillierte Inhalt vonXSS-Klassifizierung und Abwehrmaßnahmen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Erklärung dieser Website

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)

4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Beste grafische Einstellungen

4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Assassin's Creed Shadows: Seashell Riddle -Lösung

2 Wochen vor By DDD

R.E.P.O. So reparieren Sie Audio, wenn Sie niemanden hören können

4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

R.E.P.O. Chat -Befehle und wie man sie benutzt

4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Heiße Themen

Wo ist der Login-Zugang für Gmail-E-Mail?

7523

CakePHP-Tutorial

1378

Wie lautet das Format des Kontonamens von Steam?

Win11 -Aktivierungsschlüssel dauerhaft

NYT -Verbindungen Hinweise und Antworten

Related knowledge

Schutz vor Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF) in Laravel Aug 13, 2023 pm 04:43 PM

Schutz vor Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery (CSRF) in Laravel Mit der Entwicklung des Internets sind Netzwerksicherheitsprobleme immer ernster geworden. Unter ihnen gehören Cross-SiteScripting (XSS) und Cross-SiteRequestForgery (CSRF) zu den häufigsten Angriffsmethoden. Laravel bietet als beliebtes PHP-Entwicklungsframework Benutzern eine Vielzahl von Sicherheitsmechanismen

Wie man sich in PHP gegen XSS- und Remote-Codeausführungsangriffe verteidigt Jun 30, 2023 am 08:04 AM

So schützen Sie sich mit PHP gegen Cross-Site-Scripting (XSS) und Remote-Codeausführungsangriffe. Einführung: In der heutigen Internetwelt ist Sicherheit zu einem wichtigen Thema geworden. XSS-Angriffe (Cross-Site-Scripting) und Remotecodeausführungsangriffe sind zwei der häufigsten Sicherheitslücken. In diesem Artikel wird untersucht, wie Sie die PHP-Sprache zur Abwehr dieser beiden Angriffe einsetzen können, und es werden verschiedene Methoden und Techniken vorgestellt, mit denen Sie Ihre Website vor diesen Angriffen schützen können. 1. XSS-Angriffe verstehen XSS-Angriffe beziehen sich auf Angreifer, die an die persönlichen Daten von Benutzern gelangen, indem sie bösartige Skripte in Websites einschleusen.

Sicherheitsmaßnahmen zum Schutz von Ajax-Anwendungen vor CSRF-Angriffen Jan 30, 2024 am 08:38 AM

Ajax-Sicherheitsanalyse: Wie kann man CSRF-Angriffe verhindern? Einleitung: Mit der Entwicklung von Webanwendungen und der weit verbreiteten Anwendung der Front-End-Technologie ist Ajax zu einem unverzichtbaren Bestandteil der täglichen Arbeit von Entwicklern geworden. Allerdings birgt Ajax auch einige Sicherheitsrisiken für Anwendungen, wobei CSRF-Angriffe (Cross-SiteRequestForgery) am häufigsten vorkommen. Dieser Artikel beginnt mit den Prinzipien von CSRF-Angriffen, analysiert die Sicherheitsbedrohungen für Ajax-Anwendungen und bietet einige Verteidigungsmaßnahmen

Best Practices für die Sicherheit für die PHP- und Vue.js-Entwicklung: XSS-Angriffe verhindern Jul 06, 2023 pm 01:37 PM

Best Practices für PHP- und Vue.js-Entwicklungssicherheit: XSS-Angriffe verhindern Mit der rasanten Entwicklung des Internets werden Netzwerksicherheitsfragen immer wichtiger. Unter diesen ist XSS (Cross-Site-Scripting-Angriff) eine sehr verbreitete Art von Netzwerkangriff, der darauf abzielt, Sicherheitslücken in der Website auszunutzen, um Benutzern bösartigen Code einzuschleusen oder den Inhalt der Webseite zu manipulieren. Bei der PHP- und Vue.js-Entwicklung ist es sehr wichtig, einige bewährte Sicherheitsmethoden zu übernehmen, um XSS-Angriffe zu verhindern. In diesem Artikel werden einige häufig verwendete Methoden zur Verhinderung von XSS-Angriffen vorgestellt und entsprechende Codes bereitgestellt.

Analyse der sicheren XSS-Filtertechnologie in PHP Jun 29, 2023 am 09:49 AM

PHP ist eine Programmiersprache, die in der Website-Entwicklung weit verbreitet ist. Bei der Verwendung von PHP zur Entwicklung von Websites bereiten Sicherheitsprobleme jedoch häufig Anlass zur Sorge. Eine davon ist Cross-SiteScripting (XSS), eine häufige Sicherheitslücke im Netzwerk. Um dieses Problem zu lösen, bietet PHP einige sichere XSS-Filtertechnologien. In diesem Artikel werden die Prinzipien und die Verwendung der sicheren XSS-Filtertechnologie in PHP vorgestellt. Zunächst müssen wir verstehen, was ein XSS-Angriff ist. XSS-Angriff

So analysieren Sie reflektiertes XSS May 13, 2023 pm 08:13 PM

1. Reflected XSS Reflected XSS bedeutet, dass die Anwendung über Webanfragen nicht vertrauenswürdige Daten erhält und diese an Webbenutzer übermittelt, ohne zu prüfen, ob die Daten schädlichen Code enthalten. Reflektiertes XSS wird im Allgemeinen vom Angreifer mit Schadcode-Parametern in der URL erstellt. Beim Öffnen der URL-Adresse werden die eindeutigen Schadcode-Parameter von HTML analysiert und ausgeführt. Es zeichnet sich durch Nichtpersistenz aus und erfordert, dass der Benutzer darauf klickt Verknüpfung mit bestimmten Parametern verursachen kann. Der Editor verwendet den Quellcode der JAVA-Sprache als Beispiel, um CWEID80:ImproperNeutralizationofScript-RelatedHTMLTagsinaWebPage(BasicXSS)2 zu analysieren.

So analysieren Sie reflektiertes XSS Jun 03, 2023 pm 12:09 PM

1 Einführung in die Testumgebung Die Testumgebung ist das DVWA-Modul in der OWASP-Umgebung 2 Testbeschreibung XSS wird auch CSS (CrossSiteScript) genannt, ein Cross-Site-Scripting-Angriff. Es bezieht sich auf einen böswilligen Angreifer, der böswilligen HTML-Code in eine Webseite einfügt. Wenn ein Benutzer die Seite durchsucht, wird der im Web eingebettete HTML-Code ausgeführt, wodurch der besondere Zweck eines böswilligen Angriffs auf den Benutzer erreicht wird, beispielsweise der Erhalt des Cookies des Benutzers . Navigieren Sie zu bösartigen Websites, übertragen Sie Angriffe und mehr. Diese Sicherheitslücke ermöglicht es einem Angreifer, die Sitzung eines authentifizierten Benutzers zu kapern. Nach der Übernahme einer authentifizierten Sitzung verfügt der Virusersteller über alle Berechtigungen dieses autorisierten Benutzers. 3. Testschritt: Geben Sie den Javascript-Skriptcode in das Eingabefeld ein: al

XSS-Angriffe in PHP May 23, 2023 am 09:10 AM

In den letzten Jahren ist unser Leben mit der rasanten Entwicklung der Internet-Informationstechnologie zunehmend untrennbar mit dem Internet verbunden. Die Interaktion zwischen dem Netzwerk und unserem täglichen Leben ist untrennbar mit einer großen Menge an Code-Schreiben, -Übertragung und -Verarbeitung verbunden. Und diese Codes brauchen uns, um ihre Sicherheit zu schützen, sonst werden sie von böswilligen Angreifern für verschiedene Angriffe genutzt. Einer dieser Angriffe ist der XSS-Angriff. In diesem Artikel konzentrieren wir uns auf XSS-Angriffe in PHP und geben entsprechende Abwehrmethoden an. 1. Überblick über XSS-Angriffe XSS-Angriffe, auch bekannt als Cross-Site-Scripting-Angriffe, sind in der Regel

See all articles