XSS如果截取了后台会话信息,一般这个IP是没有登录信息的,可以通过每次使用权限时比照最近的登录IP来限制访问。
所以:
1.对每个登录行为记录IP(帐号要分开,不能共用)
2.每次登录有时长,超过时长就失效
3.对每次功能使用进行登录IP的比照,发生变化要求重新登录
4.对所有用户上传数据的功能替换SQL,JAVASCRIPT、HTML关键词。
5.对所有cookie/session配置domain,一定程度上避免跨站
6.禁止web server添加AJAX跨站头
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cach
e-Control,Content-Type';
7.其他常用的配置还有
使用SSL传输、密码加密传输(浏览器控件)、双因子认证(如用验证码、短信、U盾等),非对称鉴权(公、私钥体系)、表单动态签名、做好访问日志和备份还原策略
最后总结:责任不外乎人心。