[网络安全书籍]客户端消灭XSS攻击.ppt版

楼主^#

更多发布于：2012-12-23 17:25


	图片：20121221025613151.png 客户端消灭XSS攻击传统的服务端xss防御常见XSS利用方法 1.</script>或者</style>de等标签闭合当前脚本，然后输入自定义内容。 2.根据JS或css上下文，构造正确的闭合。 3.利用浏览器解析bug 输入过滤：过滤关键字script,alert,document.cookie 过滤特殊字符/\'"<>\u%0a等长度限制，内容限制净化输出：对输出内容做html编码等缺陷： 1.易被绕过：新的与废弃标签（html5）多种编码（unescape，base64，url，html实体编码）提交位置不同（url，post（两种），refer，ua）浏览器缺陷（差异性与解析bug） 2.对基于dom的xss攻击无能为力点击下载