超级会员免费看
前端安全:防范DOM XSS与CSRF攻击
1. 防范DOM XSS攻击
DOM-based XSS与普通XSS不同,有其独特的规则。若想全面了解DOM XSS及净化规则,可参考相关资料。若应用中大量使用DOM操作,就易受DOM XSS攻击,建议使用专为特定上下文验证设计的JavaScript验证库,如OWASP的ESAPI JavaScript库。
1.1 DOM XSS防护步骤
处理DOM XSS防护需分两步:
1. 获取数据 :若在服务端构建脚本,可进行JavaScript编码;也可将值作为JSON传输,使用 JSON.parse 解析。切勿使用 eval() 。
2. 使用数据 :将数据插入HTML或URL上下文时,需相应编码;插入属性或CSS上下文时,无需编码,但要避免危险属性。
以下是简单示例代码:
<!DOCTYPE html>
<html>
<head lang="en">
<meta charset="UTF-8">
<title>My DOM XSS</title>
</head>
<body>
<div id="dynamic"></div>
<script>
// Step 1 - Get data
var text = '<%- ESAPI.encoder().en
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
