XSS 분류 및 방어 조치

王林
풀어 주다: 2020-06-17 17:27:09
앞으로
3243명이 탐색했습니다.

XSS 분류 및 방어 조치

XSS는 세 가지 범주로 나뉩니다.

  • 반영된 XSS(비영구) 요청 시 XSS 코드가 URL에 나타나고 서버가 구문 분석하고 응답합니다. XSS 코드로 응답 내용과 함께 브라우저로 다시 전송되고 마지막으로 브라우저는 XSS 코드를 구문 분석하고 실행합니다. 이 프로세스는 반사와 유사하므로 반사형 XSS라고 합니다.

  • 저장된 XSS(영구) 저장된 XSS와 반영된 XSS의 유일한 차이점은 제출된 코드가 서버측(데이터베이스, 메모리, 파일 시스템 등)에 저장되므로 제출할 필요가 없다는 것입니다. 다음에 대상 페이지 XSS 코드를 요청할 때 다시 한 번.

  • DOM XSS(클라이언트) DOM XSS, 반영된 XSS 및 저장된 XSS의 차이점은 DOM XSS의 코드는 서버의 참여를 요구하지 않으며 XSS를 트리거하는 것은 브라우저 측의 DOM 구문 분석에 의존합니다. 전적으로 클라이언트의 문제입니다.

XSS 방어 조치:

  • 필터 이스케이프 입력 및 출력

  • 문자열이 사용자 입력과 관련이 없다고 판단되지 않는 한 eval, new Function 및 기타 방법을 사용하여 문자열을 실행하지 마세요.

  • 사용 쿠키의 httpOnly 속성과 이 속성의 쿠키 필드는 js에서 읽고 쓸 수 없습니다

  • innerHTML 및 document.write를 사용할 때 사용자가 데이터를 입력하면 객체 필터링 및 변환을 위해서는 주요 문자가 필요합니다. Yi

추천 튜토리얼: 웹 서버 보안

위 내용은 XSS 분류 및 방어 조치의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:juejin.im
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿
회사 소개 부인 성명 Sitemap
PHP 중국어 웹사이트:공공복지 온라인 PHP 교육,PHP 학습자의 빠른 성장을 도와주세요!