- CSRF/XSS
- CSP
- Same-origin policy
- ADsafe/Caja/SandBox
xss
XSS目前主要的手段和目的如下:
盗用cookie,获取敏感信息。
利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击者)用户的身份执行一些管理动作,或执行一些如:发微博、加好友、发私信等常规操作。
利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果
xss 的防御
富文本标签允许直接提交.
script被过滤了。
on开始的属性被过滤了,比如onerror,onclick,onmouSEOver等等,这个过滤规则直接废了很多payload。
script被过滤了,这个也让很多payload失去了可能。但是在button里用字符实体替换里的字符可以绕过!
button没有被列入黑名单
iframe,form等在黑名单里,会被过滤成字符串。
在a标签里似乎这个字符实体的问题并不存在,目测是对一些无伤大局的标签像button(因为on被处理了),才有字符实体(&这些)的问题呢。
1.不要让用户提交包含 "form" 和 "formaction"属性的标签.避免在form中出现id属性及提交按钮.
2.检测用户提交的内容中是否含有"autofocus"属性。
3.检测用户提交的内容中是否含有"autofocus"属性
4.确保VIDEO的poster属性是相对URI、http URI和MIME-typed正确的data URI
5.Make sure users cannot submit markup including the form,"onformchange" and "onforminput" attributes. Do not apply
