Skip to main content

安全

番风May 31, 2024Less than 1 minute

浅谈Session与Cookie的关系 - MrSu - 博客园

  1. 使用 https
  2. httpOnly 属性 和 Secure 属性
  3. 设置短的 Cookie 生命周期,并定期轮换 Cookie 值,即使 Cookie 被盗,攻击者能利用的时间也很短。
  4. 在 cookie 中加入校验信息

XSS 跨站脚本攻击 (Cross-site scripting)

攻击者在 web 页面恶意插入 HTMLscript 标签,当用户浏览该页面时,恶意代码就会被执行,从而达到攻击的目的。XSS 利用的是用户对指定网站的信任

  • 标签过滤,如 <script><img><a> 标签等
  • 编码,对字符 <>&"'+/ 等进行转义。
  • cookie 防盗,将 cookie 设置为 http-only,js 脚本将无法读取到 cookie 信息。
  • 纯前端渲染,明确 innerTextsetAttributestyle,将代码与数据分隔开。
  • 避免不可信的数据拼接到字符串中传递给这些 API,如 DOM 中的内联事件监听器,locationonclickonloadonmouseover 等,<a> 标签的 href 属性,JavaScripteval()setTimeout()setInterval() 等,都能把字符串作为代码运行。

CSRF 跨站点请求伪造

Default footer
Copyright © 2024 番风