如何确保网站安全检查

Question

如何保护窗体免受脚本注入攻击。这是最常用的攻击形式之一，攻击者试图通过表单字段插入JS脚本。这种情况下的验证必须检查表单域中的特殊字符。在互联网/jquery等网站上寻找建议和建议，以获得允许的字符和字符掩码验证JS代码。

Answer 1

您可以使用 (如果您使用的是PHP，或者您所使用的语言可能有其他选择)来在很大程度上避免攻击，但请记住，没有完美或100%可靠的解决方案。这应该会对你有所帮助，并永远记住，服务器端的验证永远是最好的，而不是依赖于javascript，因为坏人可以很容易地绕过禁用javascript。

对于，您需要从可用于操作或注入查询的查询中转义无效字符，并对要插入到数据库中的所有值使用类型转换。

有关更多安全风险以及如何避免它们，请参阅。请注意，即使您不使用PHP，安全性的基本概念也是相同的，这将使您在安全性方面处于更有利的地位。

Answer 2

如果您在html上下文中输出用户控制的输入，那么在处理输入(html purify，自定义输入验证)和/或在输出之前对值进行html编码时，您可以遵循其他内容并进行清理。

htmlencodng/strip标签(不需要标签)不够用的情况：

1. 用户输入出现在属性中然后它取决于在on*处理程序(如onload="..)中使用的
2. 是否总是(双引号)属性(错误)，那么html编码是不够的，因为javascript解析器是在html解码之后调用的。
3. 出现在javascript部分中-取决于这是在带引号的(htmlentity encode不充分)还是未带引号的区域(非常糟糕)中出现的。
4. 作为json返回，可能经过求值。需要javascript进行转义。

<

1. >G29

出现在CSS中- css转义不同，css允许javascript (表达式)

​

此外，这些漏洞不包括浏览器漏洞，如不完整的UTF-8序列漏洞攻击、内容类型嗅探漏洞攻击(UTF-7漏洞)等。

当然，您还必须处理数据以防止其他攻击(SQL或命令注入)。

Answer 3

这方面最好的参考资料可能是OWASP XSS Prevention Cheat Sheet