也谈一谈XSS

XSS攻击是一个很老的话题了,通常都认为是比较好防范的,但是却很容易忽视,所以今天又来总结下。

关于攻击的总类以及概念不做过多解读了,网上基本一大把,我这里总结下防御方案。XSS攻击是很危险,并且很容易出现,浏览器也做了安全限制,防止跨域访问数据,但是我们都知道jsonp可以饶过这些限制,所以就有了session劫持。

 第一层防御:

在服务端对提交的数据包含URL,header,做一个安全检查过滤,百分之90的攻击可以避免了。这是保护的第一道屏障。

第二层防御:
也叫被动防御,包括服务器本身的网络环境的安全,要保证服务器本身是安全的,不会被注入脚本代码、

第三层防御:

这一层防御被破坏,危害很大,基本能达到攻击目的,比如session劫持。所以我们将放入cookie的关键信息最好设置为httpOnly,这样就不会被脚本获取到,而只能通过http的方式传入本域的服务器。防止session劫持的方案可以将 cookie的安全级别设为httpOnly,这样的话通过脚本无法获取session。在web.xml中加入如下设置。

<session-config>
 
  <cookie-config>
 
    <http-only>true</http-only>
 
  </cookie-config>
 
</session-config>

 

如果是HTTPS,我们还可以设置的更严格,将属性设置为secure,这样的话不仅脚本不能访问cookie,连http都无法传递这个cookie值,只能以HTTPS传输。

 

 
<session-config>
 
  <cookie-config>
 
    <http-only>true</http-only>
 
    <secure>true</secure>
 
  </cookie-config>
 
</session-config>

  

 

你可能感兴趣的:(也谈一谈XSS)