安全性测试-XSS防范手法

1.防堵跨站漏洞，阻止攻击者利用在被攻击网站上发布跨站攻击语句不可以信任用户提交的任何内容
首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤；
其次任何内容写到页面之前都必须加以encode，避免不小心把html tag 弄出来。这一个层面做好，至少可以堵住超过一半的XSS 攻击。

---

2. Cookie 防盗
首先避免直接在cookie 中泄露用户隐私，例如email、密码等等。
其次通过使cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值，不可能拿来重放。

---

3. 尽量采用POST 而非GET 提交表单
POST 操作不可能绕开javascript. 的使用，这会给攻击者增加难度，减少可利用的跨站漏洞。

---

4. 严格检查refer
检查http refer 是否来自预料中的url。这可以阻止第2 类攻击手法发起的http 请求，也能防止大部分第1 类攻击手法，除非正好在特权操作的引用页上种了跨站访问。

---

5.将单步流程改为多步，在多步流程中引入效验码
多步流程中每一步都产生一个验证码作为hidden 表单元素嵌在中间页面，下一步操作时这个验证码被提交到服务器，服务器检查这个验证码是否匹配。首先这为第1 类攻击者大大增加了麻烦。其次攻击者必须在多步流程中拿到上一步产生的效验码才有可能发起下一步请求，这在第2 类攻击中是几乎无法做到的。

---

6.引入用户交互
简单的一个看图识数可以堵住几乎所有的非预期特权操作。

---

7. 只在允许anonymous 访问的地方使用动态的javascript。

---

8. 对于用户提交信息的中的img 等link，检查是否有重定向回本站、不是真的图片等
可疑操作。

---

9.内部管理网站的问题
很多时候，内部管理网站往往疏于关注安全问题，只是简单的限制访问来源。这种网站往往对XSS 攻击毫无抵抗力，需要多加注意。