2.1 执行点防御方法
执行点 防御页面直出Dom 服务端XSS过滤
客户端跳转链接 域名白名单(例如:只允许qq.com域)、链接地址XSS过滤
取值写入页面 客户端XSS过滤
脚本动态执行 确保执行Js字符串来源可信
|
| 不安全属性设置 | 内容XSS过滤,包含链接同客户端跳转链接 |
|HTML5 postMessage|origin限制来源|
| 有缺陷的第三方库 | 不使用
2.2 其他安全防御手段
对于Cookie使用httpOnly
在HTTP Header中使用Content Security Policy
3. 代码审查
总结XSS检查表做代码自测和检视
4. 自动化检测XSS漏洞的工具
手工检测XSS漏洞是一件比较费时间的事情,我们能不能写一套自动检测XSS自动检测工具。竟然我知道了注入点、执行点、Payload自动化过程是完全有可能的。
XSS自动化检测的难点就在于DOM型XSS的检测。因为前端JS复杂性较高,包括静态代码分析、动态执行分析都不容易等。
第六部分 总结上面内容文字比较多,看完还是很累的,总结起来就一句话:安全大于一切,不要心存侥幸,希望以上内容对您有帮助,不过以上内容仅代表个人理解,如有不对欢迎指正讨论。