摘要:前者主要由前端與后端合力完成,后者的話通常就是由前端多帶帶去完成的。畢竟各種防不勝防。日常開發(fā)中需要帶有安全意識(shí),端或者服務(wù)端都不信任外部的任何輸入,任何參考文章前端安全防劫持與的防御注入的終極解決方案信息安全
距離上一次介紹XSS與CSRF已經(jīng)過(guò)去了漫長(zhǎng)了兩個(gè)月,工作較忙,文章姍姍來(lái)遲。
小小回顧一下究竟什么是XSS和CSRF:https://segmentfault.com/a/11... 《用大白話談?wù)刋SS與CSRF》。
那么,我們來(lái)談?wù)勅绾畏婪端?br>CSRF依賴于XSS,防住XSS基本也就防住了CSRF讓我們明確我們的目的,其實(shí)就是不讓用戶踏入XSS的坑,那我們有兩個(gè)方法防止用戶入坑,一個(gè)是對(duì)外部輸入進(jìn)行徹徹底底的敏感字符過(guò)濾,一個(gè)是在顯示的時(shí)候做一些特殊處理不讓敏感代碼順利執(zhí)行。
前者主要由前端與后端合力完成,后者的話通常就是由前端多帶帶去完成的。
理論上只要有輸入數(shù)據(jù)入口的地方,XSS漏洞就會(huì)存在,js代碼可以由各種各樣的模式注入到數(shù)據(jù)庫(kù)中(明文或者編碼),所以在中小項(xiàng)目中我們先明確一個(gè)意識(shí)即可,我們開發(fā)人員要有安全處理的意識(shí),不求百分百的過(guò)濾掉非法字符,但是基本的,常見的過(guò)濾掉即可,剩下的就交給安全工程師去做吧。
中心思想:一切的一切外部來(lái)源數(shù)據(jù),畢竟經(jīng)過(guò)我們服務(wù)端代碼的過(guò)濾,才能讓他展示到頁(yè)面上,也就是說(shuō),一切外部數(shù)據(jù)都是非法的,一定要做好過(guò)濾,尤其是WEB端。(畢竟各種js防不勝防)。
所以像以下這種直接把頁(yè)面掌控權(quán)交給了用戶的代碼,是絕對(duì)不能寫的:
下面的案例用世界上最好的語(yǔ)言來(lái)演示:
非法字符有兩類,明文:,這樣的明文傳到服務(wù)端,如果讓他就這么入庫(kù)的話,我們的數(shù)據(jù)庫(kù)就被XSS注入了,所以我們需要對(duì)明文的很好過(guò)濾,htmlspecialchars后即可把script標(biāo)簽過(guò)濾成安全字符