(资料图)
XSS:跨站脚本攻击,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些脚本,攻击者可以获取用户的敏感信息,例如cookie, session等,进而危害数据安全。XSS的本质:恶意代码未经过过滤,与正常的代码混合在一起;浏览器无法区分哪些脚本是可信的,导致恶意脚本被执行。
XSS可以分为以下几大类
存储型 用户将恶意代码提交到数据库,当用户打开目标网站是,数据库中的恶意代码被读取,插入到页面的代码中。反射型 攻击者构造出特殊的URL,其中包含恶意代码,页面中读取这个URL上拼接的恶意代码,并执行。DOM型 也是由攻击者构造出特殊的URL,其中包含恶意代码。这个恶意代码未经过后端直接在前端执行。类似于反射型XSS,区别在于反射型XSS经过了服务端,属于服务端安全漏洞如何防御
输入过滤 根据具体情况 我们可以在输入侧过滤,也可以在输出侧过滤改成纯前端渲染,把代码和数据分开如果插入到HTML中,需要做充分的转义开启Content Security Policy(CSP)策略,CSP策略可以禁止加载外域脚本,禁止外域提交,禁止内联脚本执行,禁止未授权的脚本执行,合理上报及时发现XSS输入长度控制开启cookie的http-only,禁止js脚本读取某些敏感Cookie验证码:防止冒充用户提交危险操作近日,首届兴智杯全国人工智能创新应用大赛行业赋能专题赛结果揭晓,6个涉煤项目获奖。 其中,国家能源集团物资公司国家能源智慧供应链更多
2023-02-08 10:05:25据商务部重要生产资料市场监测系统显示,上周(2023年1月23日-29日),云南省煤炭均价为1525元吨,环比下跌03%。其中,无烟煤均价1000元更多
2023-02-08 10:07:09蒙古GoGo网消息,额尔登斯塔本陶勒盖公司计划从2月中旬起在网上交易煤炭。 据Mysteel集团通报称,额尔登斯塔本陶勒盖公司将从2月中旬起更多
2023-02-08 10:07:48受中下游环节库存高企、终端企业消费低迷和澳煤进口放宽等因素影响,节后动力煤市场悲观情绪蔓延,价格承压持续下跌,目前北方港口各主流更多
2023-02-08 10:15:23近日,在中国煤炭工业协会开展的煤炭企业优秀五小技术创新成果评比中,由CCTD创新发明的数字煤市一体机荣获一等奖。 CCTD以数字赋能传更多
2023-02-08 09:55:44上周,由于国际终端用户库存普遍较高,对进口动力煤采购意愿持续低迷,澳大利亚动力煤价格继续下行,而由于受到印度煤炭现货市场需求增加更多
2023-02-07 15:00:43中国平煤神马集团利用自主研发的第二代烯法生产环己醇催化技术生产的纯苯精脱硫催化剂、苯部分加氢催化剂、环己烯水合催化剂,因催化性能更多
2023-02-07 11:02:082月6日下午,中国工程院院士、浙江理工大学校长、浙江省现代纺织技术创新中心主任陈文兴,北京服装学院材料设计与工程学院教授、原院长、更多
2023-02-07 11:15:56据CCTD了解,近日,国家能源局再核准新疆地区两个煤矿项目,产能合计360万吨年。 ①吐鲁番七泉湖矿区新域煤矿120万吨年项目:建设单位更多
2023-02-07 09:57:00近日,国家矿山安监局贵州局、贵州省应急管理厅、贵州省自然资源厅、贵州省能源局、贵州省司法厅、贵州省高级人民法院、贵州省人民检察院更多
2023-02-07 10:01:15