安全团队在我的网站上运行了漏洞检查,该漏洞检查显示了很多XSS漏洞。
所有漏洞都可以分为以下三种:
双引号后的脚本:对于链接标记,它显示可以在href属性的双引号之后添加脚本,如下所示:
<link rel = "canonical" href="http://www.unitedforever/about/alliance/?"><script src=as213eS.js>
双引号后的标记:
<link rel = "canonical" href="http://www.unitedforever/about/alliance/?"<a href=javascript:alert(12312)>aa</a>
双引号后的SVG标记:
<link rel = "canonical" href="http://www.unitedforever/about/alliance/?"><svg onload=alert(12321)&GT;
谷歌搜索对如何防止这些类型的漏洞没有多大帮助。有什么建议吗?
答案 0 :(得分:1)
当您将数据包含在html中时,系统地对数据进行编码(最好使用默认为您执行此操作的框架)。 根据上下文进行编码。要将它包含在两个标记之间,属性中或javascript中,您需要以不同方式对其进行编码。这就是为什么在需要使用它而不是在数据库中对其进行编码的原因。
使用CSP(内容安全策略)来检测并防止XSS在您遗漏某些内容时造成太多损失。