第25讲跨站攻击（一）.pptVIP

防范方法：最佳的 XSS 防范方法是对所有输出到页面的数据进行合适编码 如何在一个应用程序中完全阻止 XSS： ? 输入验证。使用一个标准化的验证方法，在所有输入数据被存储或者显示给用户之 前，验证所有输入数据的长度、类型、语法和逻辑，使用“只接受允许类型的数据” 策略，直接在服务端拒绝所有无效的输入，而不要试着对输入的恶意的数据进行清 理。不要忘记页面提示的错误消息也可能包含恶意数据。 ? 强壮的输出编码。在页面显示给用户以前，需要保证用户提交的所有数据都经过了 合适的编码。 ? 不建议采用“黑名单”验证去检测 XSS 输入和输入。检验和替换少数字符(“”””和 其他的相似字符、或者类似”script”的短语)的方法已经被证明是不能防止 XSS 的。甚 至一个未经检查的”b”标记在一些内容中都是不安全的。XSS 可利用的变量非常 多，如果采用黑名单验证，是非常容易绕过的。 ? 提防规范化错误。输入信息在被验证之前可能被解码，并且规范成应用软件当前使 用的内部表达式。请保证你的应用软件没有将输入数据进行两次同样的解码。 IBM Confidential * IBM Confidential * IBM Confidential * IBM Confidential * ◆验证所有输入数据的长度、类型、语法和逻辑，使用“只接受允许类型的数据”的策略，直接在服务端拒