Rimuru Tempest Asked: 2020-03-07 23:16:10 +0800 CST 2020-03-07 23:16:10 +0800 CST 2020-03-07 23:16:10 +0800 CST 如何保护我的网站免受 XSS 攻击? 772 我想保护我的网站免受任何类型的 XSS 攻击,我可以使用 htaccess 或 php 来做到这一点。 php 2 Answers Voted Best Answer CGG 2020-03-07T23:40:05+08:002020-03-07T23:40:05+08:00 一切都取决于你打算解决什么类型的 XSS。有两种: XSSPersistente (StoredXSS):发生在用户输入其他用户可以引用的数据的那些部分。也就是说,当使用数据库或文本文件时,存储信息时。这方面的示例是论坛帖子、wiki 上的评论、博客等。在这里你应该做的是检查不允许的单词和字符的数据插入,以避免 XSS 攻击。 反射型 XSS(ReflectedXSS):当脚本包含在 Web 请求的参数中时发生。例如,当用户将指向您网站的链接传递给另一个时,但该链接包含脚本,或者用户在其中一个参数中输入脚本。在这种情况下,您必须检查您收到的地址和参数以避免攻击。这与网络钓鱼不同,请勿混淆。 保护站点免受 XSS 攻击的方法是过滤用户输入的输入数据,验证它们没有携带不需要的标签。为此,最好制作一个白名单(用户可以输入的允许事物的列表)而不是黑名单(不允许的事物)。在这种情况下,如果您使用白名单,如果您忘记了某些内容,用户将根本无法进入它,否则您可能会忘记一个标签并且页面很容易受到攻击。 另一种保护自己的方法是使用Apache 的mod_security,您必须安装它并对其进行配置以过滤所有这些请求,但建议使用第一种方法,以便能够通过代码以更好的方式控制整个流程. 这适用于任何编程语言。 对于 PHP,您必须使用 PHP 中的验证过滤器。你也有这个谷歌图书馆。 在这里,您可以获得有关数据验证、 AntiSamy项目 和JSP的更多信息。 Ngomez 2020-03-08T02:23:51+08:002020-03-08T02:23:51+08:00 您应该做的是控制用户在您网站的输入中输入的内容。要清除 php 中所有可能的 XSS 攻击,有一个非常好的库,我将其链接留给您,以便您查看: http://htmlpurifier.org/
一切都取决于你打算解决什么类型的 XSS。有两种:
XSSPersistente (StoredXSS):发生在用户输入其他用户可以引用的数据的那些部分。也就是说,当使用数据库或文本文件时,存储信息时。这方面的示例是论坛帖子、wiki 上的评论、博客等。在这里你应该做的是检查不允许的单词和字符的数据插入,以避免 XSS 攻击。
反射型 XSS(ReflectedXSS):当脚本包含在 Web 请求的参数中时发生。例如,当用户将指向您网站的链接传递给另一个时,但该链接包含脚本,或者用户在其中一个参数中输入脚本。在这种情况下,您必须检查您收到的地址和参数以避免攻击。这与网络钓鱼不同,请勿混淆。
保护站点免受 XSS 攻击的方法是过滤用户输入的输入数据,验证它们没有携带不需要的标签。为此,最好制作一个白名单(用户可以输入的允许事物的列表)而不是黑名单(不允许的事物)。在这种情况下,如果您使用白名单,如果您忘记了某些内容,用户将根本无法进入它,否则您可能会忘记一个标签并且页面很容易受到攻击。
另一种保护自己的方法是使用Apache 的mod_security,您必须安装它并对其进行配置以过滤所有这些请求,但建议使用第一种方法,以便能够通过代码以更好的方式控制整个流程. 这适用于任何编程语言。
对于 PHP,您必须使用 PHP 中的验证过滤器。你也有这个谷歌图书馆。
在这里,您可以获得有关数据验证、 AntiSamy项目 和JSP的更多信息。
您应该做的是控制用户在您网站的输入中输入的内容。要清除 php 中所有可能的 XSS 攻击,有一个非常好的库,我将其链接留给您,以便您查看:
http://htmlpurifier.org/