预防XSS思路一则

原创
2016/05/21 22:34
阅读数 198
AI总结

XSS如果截取了后台会话信息,一般这个IP是没有登录信息的,可以通过每次使用权限时比照最近的登录IP来限制访问。

所以:

1.对每个登录行为记录IP(帐号要分开,不能共用)

2.每次登录有时长,超过时长就失效

3.对每次功能使用进行登录IP的比照,发生变化要求重新登录

4.对所有用户上传数据的功能替换SQL,JAVASCRIPT、HTML关键词。

5.对所有cookie/session配置domain,一定程度上避免跨站

6.禁止web server添加AJAX跨站头

    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cach
e-Control,Content-Type';

7.其他常用的配置还有

使用SSL传输、密码加密传输(浏览器控件)、双因子认证(如用验证码、短信、U盾等),非对称鉴权(公、私钥体系)、表单动态签名、做好访问日志和备份还原策略

 

最后总结:责任不外乎人心。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
0 评论
8 收藏
2
分享
AI总结
返回顶部
顶部