本文介绍了XSS攻击的三种类型:反射型、存储型和DOM型,并详细解释了如何通过设置HttpOnly标志位来保护cookie安全,以及如何在PHP中正确设置此属性。此外,还提供了对用户输入进行有效验证和过滤的方法,包括使用白名单原则和JavaScript编码。
xss的本质 html注入
xss cross site script
1,反射性xss No-persistent XXS
2,存储型xss persisitent XXS
3,Dom Based XSS 改变dom节点
参加的xss payload 发起cookie劫持伪造post get
phper 我们可以做得基本防御
1,绝大部分浏览器紧张js 访问HttpOnly 属性的cookie
如:
<?php
header("set-cookie:cookie1=test1");
header("set-cookie:cookie1=test1;httponly",false);
?>
<script>
alert(document.cookie);
</script>对于php5 setcookie("abc","test",null,null.null,null.null,TURE);//最后一个参数
2,检查输入,检查输出(富文本编辑器)
用htmltntities() ,htmlspecialchars()处理 !
对于输入多使用白名单原则来做判断
同时在js代码中用 JavascriptEncode做转码处理
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
