客户端消灭XSS攻击.ppt版
3825 点击·1 回帖
灯火互联
楼主
 |  | |
 | 图片:20121221025613151.png  客户端消灭XSS攻击 传统的服务端xss防御 常见XSS利用方法 1.</script>或者</style>de等标签闭合当前脚本,然后输入自定义内容。 2.根据JS或css上下文,构造正确的闭合。 3.利用浏览器解析bug 输入过滤: 过滤关键字script,alert,document.cookie 过滤特殊字符/\'"<>\u%0a等 长度限制,内容限制 净化输出: 对输出内容做html编码等 缺陷: 1.易被绕过: 新的与废弃标签(html5) 多种编码(unescape,base64,url,html实体编码) 提交位置不同(url,post(两种),refer,ua) 浏览器缺陷(差异性与解析bug) 2.对基于dom的xss攻击无能为力 点击下载 | |
 |  |
