XSS 常用防御方式

1. HTML

1.1 head 設(shè)置charset = UTF-8

  • 防止IE下自動使用 UTF7

1.2 content-type JSON時 需要明確設(shè)置

  • 防止給JSON中注入js

2 HTTP響應(yīng)頭

2.1 X-XSS-PROTECTION: 1;mode=block

  • 開啟瀏覽器XSS過濾器

2.2 X-Frame-Options:deny

  • 響應(yīng)頭會被禁止加載到frame中

2.3 X-Content-Type-Options:nosniff

  • 禁止瀏覽器做MIME嗅探

2.4 [重要] Content-Security-Policy: default-src:'self'

  • 只允許本origin的資源
    • default-src = 各種資源
    • script -src , img -src 腳本資源, 圖片資源

可以設(shè)置的值除了 self 之外 script-src還可以設(shè)置 unsafe-inline 但一定要跟 nounce

2.5 Set-Cookie:key = value; HttpOnly

  • 設(shè)置Cookie成為只讀

2.6 Content-Type:type/subtype;charset=utf-8

3 服務(wù)端語言 用各自的轉(zhuǎn)義庫去encode和decode

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理,服務(wù)發(fā)現(xiàn),斷路器,智...
    卡卡羅2017閱讀 136,711評論 19 139
  • 本博客轉(zhuǎn)自:「作者:若愚鏈接:https://zhuanlan.zhihu.com/p/22361337來源:知乎...
    韓寶億閱讀 2,935評論 0 3
  • 前端開發(fā)面試知識點大綱: HTML&CSS: 對Web標(biāo)準(zhǔn)的理解、瀏覽器內(nèi)核差異、兼容性、hack、CSS基本功:...
    秀才JaneBook閱讀 2,792評論 0 25
  • HTML HTML5新增加的內(nèi)容或者APIAPI層canvas: 用來寫游戲還是很不錯的,推薦開源游戲框架:pix...
    FConfidence閱讀 590評論 0 3
  • 要加“m”說明是MB,否則就是KB了. -Xms:初始值 -Xmx:最大值 -Xmn:最小值 java -Xms8...
    dadong0505閱讀 5,077評論 0 53

友情鏈接更多精彩內(nèi)容