XSS Filter
XSS Filter的作用是过滤用户(客户端)提交的有害信息，从而达到防范XSS攻击的效果
XSS Filter作为防御跨站攻击的主要手段之一，已经广泛应用在各类Web系统之中，包括现今的许多应用软件，例如Chrome浏览器，通过加入XSS Filter功能可以有效防范所有非持久性XSS攻击。

两种过滤
业内防御跨站脚本攻击的方式一般有两种，Input Filtering和Output Filtering，即分别在输入端和输出端进行过滤
输入过滤的所有数据都需经过XSS Filter处理，被确认安全无害后才存入数据库中，而输出过滤只是应用于写出页面的数据，换言之，如果一段恶意代码早已存入数据库中，若只有采用输出过滤才能捕获非法数据，那么这两种方式在防范持久型XSS的时候回产生巨大差异。

输入验证

1. 输入是否仅仅包含合法的字符
2. 输入字符串是否超过最大长度限制
3. 输入如果为数字，数字是否在制定的范围之内
4. 输入是否符合特殊的格式要求，如E-mail地址，IP地址等
   而对于重要敏感的信息，如折扣，价格等，理应放到服务器端进行传参与校验等操作。

数据消毒
除了在客户端验证数据的合法性，输入过滤中最重要的还是过滤和净化有害的输入，例如：

< > ' " & # javascript expression

为了能够提供两层防御和确保web应用程序的安全，对web应用的输出也要进行过滤和编码

输出编码
当需要将一个字符串输出到网页时，同时不确定这个字符串中是否包括XSS特殊字符(如< > & ' "等)，为了确保输出内容的完整性和正确性，可以使用编码(HTMLEncode)进行处理。
htmlspacialchars()函数可以将以下五种HTML特殊字符转成字符实体编码：

< 转成 &lt;
> 转成 &gt;
& 转成 &amp;
"  转成 &quot;
'   转成 &#39

服务端过滤
输入过滤
在数据存进数据库之前便对特殊的字符进行转义，顺便可以把SQL注入等其他楼栋一并检验。而缺点就是无法处理之前已经存在于数据库中的恶意代码。
输出过滤
在数据输出之前先对部分敏感字符进行转义，能有效保持数据的完整性。缺点是必须对每一个细节的输出自习过滤，因此会带来额外的工作量。

script标签中的内容尽量避免或者减少在javascript上下文中使用动态内容

XSS(四)攻击防御的更多相关文章

1. 从零学习安全测试，从XSS漏洞攻击和防御开始

   WeTest 导读 本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础.XSS基础.编码基础.XSS Payload.XSS攻击防御. 第一部分:漏洞攻防基础知识   XSS属于漏洞攻防,我们要研究 ...

2. PHP漏洞全解&lpar;四&rpar;-xss跨站脚本攻击

   本文主要介绍针对PHP网站的xss跨站脚本攻击.跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 ...

3. &period;Net Core 项目中添加统一的XSS攻击防御过滤器

   一.前言 最近公司内部在对系统的安全进行培训,刚好目前手里的一个.net core 项目中需要增加预防xss的攻击,本文将大概介绍下何为XSS攻击以及在项目中如何统一的预防XSS攻击. 二.XSS简介 ...

4. XSS攻击防御篇

   前言   上篇文章中提到了 XSS 攻击,而且,也从几个方面介绍了 XSS 攻击带来的严重影响.那么,这篇文章中,主要是针对 XSS 攻击做一个基本的防御,看看可以通过几种方式来修复这个特别常见的安全 ...

5. XSS常见攻击与防御

   XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意 ...

6. 风炫安全WEB安全学习第二十四节课 利用XSS钓鱼攻击

   风炫安全WEB安全学习第二十四节课 利用XSS钓鱼攻击 XSS钓鱼攻击 HTTP Basic Authentication认证 大家在登录网站的时候,大部分时候是通过一个表单提交登录信息. 但是有时候 ...

7. 前端安全（XSS、CSRF防御）

   一.网络安全          OWASP:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)        OWASP是一个开源的 ...

8. xss跨站脚本攻击及xss漏洞防范

   xss跨站脚本攻击(Cross Site Scripting,因与css样式表相似故缩写为XSS).恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Scrip ...

9. DDOS、CC、sql注入，跨站攻击防御方法

   web安全常见攻击解读--DDos.cc.sql注入.xss.CSRF 一,DDos https://www.cnblogs.com/sochishun/p/7081739.html#4111858 ...

随机推荐

1. ！gluLookAt与glOrtho 参数解析

   void gluLookAt( GLdouble eyeX, GLdouble eyeY, GLdouble eyeZ, GLdouble centerX, GLdouble centerY, GLd ...

2. Ceph–s ceph 集群状态

   [root@ceph-mon1 ~]# ceph -s cluster 03f3afd4-4cc6-4083-a34c-845446a59cd4 health HEALTH_OK monmap e1: ...

3. CodeForces 732A Buy a Shovel &lpar;水题&rpar;

   题意:你手中有10元的钱,还有一个r元的零钱,要买一个价格为k的物品,但是你要求不找零钱,求最少要买多少物品. 析:直接暴力,最多买10个物品就够了1-10. 代码如下: #pragma commen ...

4. redis php

   redis php 学习1.连接$redis = new redis();$result = $redis->connect('127.0.0.1',6379); 2.set$redis = n ...

5. Git库文件的状态

   git库所在的文件夹(即.git所在的文件夹)中的文件的状态: (1)untracked:未跟踪,此文件在文件夹中,但并没有加入git库,不参与版本控制. 通过”git add”,”git commi ...

6. Identity Server 4 预备知识 -- OpenID Connect 简介

   我之前的文章简单的介绍了OAuth 2.0 (在这里: https://www.cnblogs.com/cgzl/p/9221488.html), 还不是很全. 这篇文章我要介绍一下 OpenID C ...

7. JavaScript新手入门 贪吃蛇

   从小就在玩贪吃蛇,但是知道今天自己做了一遍才知道原理的具体的实现步骤. 刚进入界面时显示开始游戏(不重要,本人比较喜欢吹毛求疵) 中间黑色部分为游戏的主要展示部分 主要步骤及源码: body中代码,红 ...

8. impdp如何杀掉job

   今天刚执行一个impdp操作发现,硬盘空间可能不够了,赶紧按了Ctrl+C,结果发现磁盘空间仍然在减少.问了一下部门oracle专家,Ctrl+C是无法停止impdp的job的.需要将job进行att ...

9. JAVA对象和类

   Java作为一种面向对象语言.支持以下基本概念: 多态 继承 封装 抽象 类 对象 实例 方法 重载 Java中的类 类可以看成是创建Java对象的模板. 通过下面一个简单的类来理解下Java中类的定 ...

10. eslint相关工具

    eslint工具 1. vscode搜索eslint安装,就可以在写代码时报eslint的错误了 2.文件 --> 首选项 --> 设置 --> 选ESLint --> 勾选A ...