XSS:XSS是一種跨站腳本攻擊,可以在用戶提交的數(shù)據(jù)中構(gòu)建代碼執(zhí)行,實(shí)現(xiàn)竊取用戶信息等攻擊。修復(fù)方法:轉(zhuǎn)義字符實(shí)體,使用HTTP Only禁止JavaScript讀取cookie值,對(duì)輸入進(jìn)行校驗(yàn),以及在瀏覽器和Web應(yīng)用端使用相同的字符編碼。
CSRF:CSRF是一種跨站請(qǐng)求偽造攻擊,而XSS是實(shí)現(xiàn)CSRF的眾多手段之一,由于沒有確認(rèn)用戶在執(zhí)行關(guān)鍵操作時(shí)是否自愿發(fā)起。修復(fù)方法:過濾掉需要防止CSRF的頁面,然后嵌入Token,重新輸入密碼,檢查Referer。
XXE:XXE是一種XML外部實(shí)體注入攻擊,可以通過調(diào)用XML中的實(shí)體來請(qǐng)求本地或遠(yuǎn)程內(nèi)容,類似于遠(yuǎn)程文件保護(hù),會(huì)造成相關(guān)的安全問題,如敏感文件讀取。修復(fù)方法:XML解析庫在調(diào)用時(shí)嚴(yán)格禁止解析外部實(shí)體。
京公網(wǎng)安備 11010802030320號(hào)