web XSS注入攻击防护

来源:luqidong 发布时间:2014-01-20 19:47:10 点击数:

  很少有个人做网站的会注意到网站的安全性。很多网站都会存在一些sql注入啊或者xss注入等。因为浏览器的安全性和javascript的混乱性这让xss很容易攻击到网站,举个例子

78OA办公系统

当一家网站如果没有做xss注入防护的时候输入一些带脚本的标签就会引发脚本所执行的东西,如果有的脚本是获取网站cookies然后把这些资料发到黑客的手中那么损失是巨大的那么有什么方法可以阻止呢?其实我们在做数据传送到后台的适合只需要做一个过滤就行了比如这样:

78OA办公系统

通过前台的脚本来处理下就可以了脚本代码如下:

    var escape = function(html) {
        return String(html)
            .replace(/&(?!w+;)/g, '')
            .replace(/</g, '')
            .replace(/>/g, '')
            .replace(/"/g, '')
            .replace(/'/g, '')
            .replace(/base64/g, '')
            .replace(/html/g, '')
            .replace(/HTTP/g, '')
            .replace(/base64/g, '') //base64编码
        .replace(/PA==/g, '') //相当于<
        .replace(/Pg==/g, '') //相当于>
        .substring(0, 20);
    };
当然,如果有些人用base64编码过的话这样过滤是没有用的,索引我们把"<"">"符号经过base64编码之后的也去掉这样就可以了,当然在后台也要处理好才行。

本文由www.78oa.com原创转载请著名出处