跨站脚本 XSS漏洞解决办法

原创 于 2022-05-05 14:50:28 发布 · 967 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端

在这里插入图片描述
通过配置nginx


    server {
        listen       8080;
        server_name  192.168.1.162;

	    add_header Content-Security-Policy "default-src 'self' 192.168.1.162:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;";
	
	    add_header X-XSS-Protection "1; mode=block";

        if ($query_string ~* (\$|'|--|[+|(%20)]union[+|(%20)]|[+|(%20)]insert[+|(%20)]|[+|(%20)]drop[+|(%20)]|[+|(%20)]truncate[+|(%20)]|[+|(%20)]update[+|(%20)]|[+|(%20)]from[+|(%20)]|[+|(%20)]grant[+|(%20)]|[+|(%20)]exec[+|(%20)]|[+|(%20)]where[+|(%20)]|[+|(%20)]select[+|(%20)]|[+|(%20)]and[+|(%20)]|[+|(%20)]or[+|(%20)]|[+|(%20)]count[+|(%20)]|[+|(%20)]exec[+|(%20)]|[+|(%20)]chr[+|(%20)]|[+|(%20)]mid[+|(%20)]|[+|(%20)]like[+|(%20)]|[+|(%20)]iframe[+|(%20)]|[\<|%3c]script[\>|%3e]|javascript|alert|webscan|dbappsecurity|style|confirm\(|innerhtml|innertext)(.*)$) { return 555; }
			if ($uri ~* (/~).*) { return 501; }
			if ($uri ~* (\\x.)) { return 501; }
			if ($query_string ~* "[;'<>].*") { return 509; }
			if ($request_uri ~ " ") { return 509; }
			if ($request_uri ~ (\/\.+)) { return 509; }
			if ($request_uri ~ (\.+\/)) { return 509; }
			if ($uri ~* (insert|select|delete|update|count|master|truncate|declare|exec|\*|\')(.*)$ ) { return 503; }

测试:在程序访问的url中加入js脚本标签

cs95T6
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值