摘要:通常編寫過濾器驗證用戶輸入時�,過濾器應(yīng)該是基于白名單已知的安全結(jié)構(gòu)配置編寫,允許白名單通過����,不允許其他輸入而基于黑名單已知的不安全結(jié)構(gòu)配置編寫,即允許除了黑名單之外的所有輸入���,是不安全的����,因為還有許多未知的不安全事物���。原文鏈接應(yīng)用安全
XSS (Cross-site scripting)
XSS�,跨站腳本攻擊����。
SQL注入(SQL injection)
在接受不確定輸入內(nèi)容(如第三方站點消息,URL參數(shù)���,用戶創(chuàng)建的文本批注等)時���,在使用前對數(shù)據(jù)進行驗證并且在展示時進行適當(dāng)?shù)木幋a是必不可少的�����,否則�,可能會有惡意用戶對網(wǎng)站進行攻擊��,輕者只是傳遞不規(guī)范的數(shù)據(jù)��,嚴重的可能攻擊服務(wù)器�,擾亂網(wǎng)站正常運行,如���,注入SQL腳本清除服務(wù)器上所有數(shù)據(jù)等��。
通常編寫過濾器驗證用戶輸入時��,過濾器應(yīng)該是基于白名單(已知的安全結(jié)構(gòu))配置編寫�����,允許白名單通過��,不允許其他輸入����;而基于黑名單(已知的不安全結(jié)構(gòu))配置編寫����,即允許除了黑名單之外的所有輸入,是不安全的����,因為還有許多未知的不安全事物。
JavaScript腳本注入
通常我們根據(jù)URL中的指定參數(shù)���,返回給用戶不同頁面����,提供給用戶如下導(dǎo)航:
如上��,若以上URL沒有編碼直接展示給用戶���,惡意攻擊者可以截斷URL并插入一個script元素:
http://blog.jhss.com/?id=%3Cscript%3Ealert%28%27Oh%20no%21%27%29%3C/script%3E
若其他用戶訪問這個URL頁面�,則會執(zhí)行注入的script標(biāo)簽內(nèi)的任意腳本,惡意者可以指定惡意代碼���,竊取用戶信息�。
還有很多方式被用來欺騙站點執(zhí)行注入的代碼��,如下是我們應(yīng)該考慮的方面:
當(dāng)時用看似無害的元素時��,應(yīng)該限制其可以使用的屬性��。如��,![]()
元素��,如果允許使用onload屬性��,則攻擊者可以使用onload屬性添加回調(diào)函數(shù)執(zhí)行任意指定代碼�。
當(dāng)允許插入元素時,意味著當(dāng)前頁面所有
