XSS 简述及解决

参考文章:https://www.writesoftwarewell.com/content-security-policy/

什么是XSS

XSS(Cross Site Scripting)即跨站脚本攻击,即当前站点加载并执行了来自其他站点的js,导致Cookie泄漏等安全问题。

怎么产生

多发生在允许用户填写并展示给其他人查看的站点的页面上。用户填写的内容可能直接就是一段script引用

<script src="http://xxx.com/xxx.js"></script>

如果页面直接加载了这段内容,就会产生xss。

怎么解决

  1. 对用户输入中的特殊符号进行转义

less than symbol (<) with <
greater than symbol (>) with >
double quotes (") with "
single quote (’) with ’
ampersand (&) with &

  1. 使用nonce+CSP
<script nonce="dGhpcyBpcyBhIG5v==">alert("test")</script>

Content-Security-Policy: script-src ‘nonce-dGhpcyBpcyBhIG5v==’; style-src ‘nonce-dGhpcyBpcyBhIG5v==’

  1. 使用动态事件绑定
<script> function handle() {// click handler code} 
</script><button onclick="handle();">Click Me</button>

修改为

<button id="submit-btn">Click Me</button><script nonce="token">
document.addEventListener('DOMContentLoaded', function () {document.getElementById('submit-btn').addEventListener('click', () => { // click handler code});
});
</script>

当指定csp策略时,

Content-Security-Policy: default-src ‘none’; script-src ‘nonce-randomValue’

οnclick="handle();"

将不会被执行

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/780936.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PHP定时任务框架taskPHP3.0的学习记录1(TaskPHP、执行任务类的实操代码实例)

PHP定时任务框架taskPHP3.0的学习记录1(TaskPHP、执行任务类的实操代码实例)

TaskPHP是一个基于PHP的定时任务框架&#xff0c;它提供了一个简单、灵活且易于使用的解决方案&#xff0c;用于在PHP环境中执行定时任务。下面是对TaskPHP框架的简要介绍&#xff1a; 简单易用&#xff1a;TaskPHP的设计目标是让定时任务的创建和管理变得简单。通过简单的配置…
阅读更多...
Learning To Count Everything

Learning To Count Everything

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 摘要Abstract文献阅读&#xff1a;学习数一切东西1、研究背景2、提出方法3、模块详细3.1、多尺度特征提取模块3.2、密度预测模块 4、损失函数5、性能对比6、贡献 二…
阅读更多...
城管智慧执法系统源码,基于微服务+java+springboot+vue开发

城管智慧执法系统源码,基于微服务+java+springboot+vue开发

城管智慧执法系统源码&#xff0c;基于微服务javaspringbootvue开发 城管智慧执法系统源码有演示&#xff0c;自主研发&#xff0c;功能完善&#xff0c;正版授权&#xff0c;可商用上项目。 一套数字化的城管综合执法办案系统源码&#xff0c;提供了案件在线办理、当事人信用…
阅读更多...
Platypus 一种集中式的央行数字货币方案

Platypus 一种集中式的央行数字货币方案

集中式的CBDC&#xff0c;混合使用账户模型和UTXO模型。 角色分类 中央银行&#xff1a;发行货币&#xff0c;交易验证&#xff0c;公开交易日志&#xff0c;防止双花。 不是完全受信任的&#xff0c;假定为会遵守监管要求&#xff0c;但可能会破坏交易隐私&#xff0c;即获…
阅读更多...
正弦实时数据库(SinRTDB)的使用(9)-有损压缩

正弦实时数据库(SinRTDB)的使用(9)-有损压缩

前文已经将正弦实时数据库的使用进行了介绍&#xff0c;需要了解的可以先看下面的博客&#xff1a; 正弦实时数据库(SinRTDB)的安装 正弦实时数据库(SinRTDB)的使用(1)-使用数据发生器写入数据 正弦实时数据库(SinRTDB)的使用(2)-接入OPC DA的数据 正弦实时数据库(SinRTDB)…
阅读更多...
Kafka学习之:mac 上基础使用 python 来使用 kafka 的生产者和消费者进行数据处理

Kafka学习之:mac 上基础使用 python 来使用 kafka 的生产者和消费者进行数据处理

文章目录 前提python 环境配置Kafka 生产消费者模型生产者 producer检查当前存在的所有 topic / 是否自动创建 topic为什么 producer 要通过 key, value 来发布数据键&#xff08;Key&#xff09;值&#xff08;Value&#xff09; 消费者 consumerconsumer 得到的 message 有哪…
阅读更多...
MES系统怎么解决车间生产调度难的问题?

MES系统怎么解决车间生产调度难的问题?

MES系统三个层次 1、MES决定了生产什么&#xff0c;何时生产&#xff0c;也就是说它使公司保证按照订单规定日期交付准确的产品&#xff1b; 2、MES决定谁通过什么方式&#xff08;流程&#xff09;生产&#xff0c;即通过优化资源配置&#xff0c;最有效运用资源&#xff1b; …
阅读更多...
关于SVG格式图片实现室内地图

关于SVG格式图片实现室内地图

SVG格式图片 可缩放矢量图形(Scalable Vector Graphics,SVG)基于 XML 标记语言,用于描述二维的矢量图形。 作为一个基于文本的开放网络标准,SVG 能够优雅而简洁地渲染不同大小的图形,并和 CSS、DOM、JavaScript 和 SMIL 等其他网络标准无缝衔接。本质上,SVG 相对于图像…
阅读更多...
react学习总结(二)之案例分享

react学习总结(二)之案例分享

一.项目框架的搭建 1./src/pages下建不同的页面Header.jsx&#xff0c;About.jsx&#xff0c;Home.jsx&#xff0c; Message.jsx&#xff0c;News.jsx&#xff0c;Detail.jsx Header.jsx import React from react import { useNavigate } from react-router-domexport defau…
阅读更多...
C++多线程:线程的创建、join、detach、joinable方法(二)

C++多线程:线程的创建、join、detach、joinable方法(二)

1、线程的开始与结束 程序运行起来&#xff0c;生成一个进程&#xff0c;该进程所持有的主线程开始自动运行&#xff0c;main主线程运行完所有的代码从main函数中返回表示整个进程运行完毕&#xff0c;标志着主线程和进程的死亡&#xff0c;等待操作系统回收资源&#xff0c;因…
阅读更多...
nginx如何清理页面缓存

nginx如何清理页面缓存

在 Nginx 中&#xff0c;清理页面缓存通常涉及配置缓存头以控制缓存行为&#xff0c;或者使用外部工具或机制来清除缓存。以下是一些建议来管理和清理 Nginx 的页面缓存&#xff1a; 配置缓存头&#xff1a; Nginx 本身不直接提供缓存机制&#xff0c;但可以通过配置 proxy_cac…
阅读更多...
安全算法 - 国密算法

安全算法 - 国密算法

国密算法是中国自主研发的密码算法体系&#xff0c;包括对称加密算法、非对称加密算法和哈希算法。其中&#xff0c;国密算法采用SM4作为对称加密算法&#xff0c;SM2作为非对称加密算法&#xff0c;以及SM3作为哈希算法。国密算法在信息安全领域具有重要意义和广泛应用&#x…
阅读更多...
Cocos Creator 常见问题记录

Cocos Creator 常见问题记录

目录 问题1、精灵图九宫格&#xff0c;角度不拉伸 问题2、BlockInputEvents 防止透屏 问题1、精灵图九宫格&#xff0c;角度不拉伸 点击编辑&#xff0c;拖拽到可变区域 问题2、BlockInputEvents 防止透屏
阅读更多...
【独立开发前线】Vol.26 【独立开发产品】吉光卡片-让你的文字变得酷炫起来

【独立开发前线】Vol.26 【独立开发产品】吉光卡片-让你的文字变得酷炫起来

今天给大家分享一下 独立开发前线 社区成员张小吉 的作品 吉光卡片&#xff1b; 这是一款iOS的APP&#xff0c;下载&#xff1a;吉光卡片&#xff0c;主要功能是帮你制作酷炫的文字卡片&#xff0c;用精美的卡片让你的文字生动起来。 展示效果如下&#xff1a; 你可以用它制作…
阅读更多...
【公示】2023年度青岛市级科技企业孵化器拟认定名单

【公示】2023年度青岛市级科技企业孵化器拟认定名单

根据《青岛市科技企业孵化器管理办法》&#xff08;青科规〔2023〕1号&#xff09;&#xff08;以下简称《管理办法》&#xff09;、《关于开展2023年度市级科技企业孵化器认定申报工作的通知》&#xff0c;经申报受理、区市推荐、形式审查、专家评审及现场核查等程序&#xff…
阅读更多...
为何keil编译信息显示data使用量不是整数

为何keil编译信息显示data使用量不是整数

在使用Keil软件进行嵌入式系统开发时&#xff0c;编译后显示的数据使用量&#xff08;Data Usage&#xff09;可能会以小数形式显示。这种情况通常是由以下几个原因造成的&#xff1a; 1.内存对齐&#xff1a;为了提高内存访问效率&#xff0c;编译器会对数据进行对齐处理。例…
阅读更多...
【笔记】动⼿学深度学习(花书)|| Aston Zhang Mu Li Zachary C. LiptonAlexander J. Smola

【笔记】动⼿学深度学习(花书)|| Aston Zhang Mu Li Zachary C. LiptonAlexander J. Smola

系列文章目录 提示&#xff1a;这里可以添加系列文章的所有文章的目录&#xff0c;目录需要自己手动添加 前言 第一章 深度学习简介 第二章 P 提示&#xff1a;写完文章后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 系列文章目录前言本书…
阅读更多...
BasicVSR++模型转JIT并用c++libtorch推理

BasicVSR++模型转JIT并用c++libtorch推理

BasicVSR模型转JIT并用clibtorch推理 文章目录 BasicVSR模型转JIT并用clibtorch推理安装BasicVSR 环境1.下载源码2. 新建一个conda环境3. 安装pytorch4. 安装 mim 和 mmcv-full5. 安装 mmedit6. 下载模型文件7. 测试一下能否正常运行 转换为JIT模型用c libtorch推理效果 安装Ba…
阅读更多...
使用docker 安装oracle 11g 挂载数据目录并修改SID centos-7

使用docker 安装oracle 11g 挂载数据目录并修改SID centos-7

建议&#xff1a;建议使用其它系统去装ubuntu或Rocky&#xff08;因为centos已经停止维护&#xff09; 1、安装docker 这里就不细写了&#xff0c;可以查看清华镜像源或者阿里镜像源 清华&#xff1a;https://mirrors.tuna.tsinghua.edu.cn/help/docker-ce/ 阿里&#xff1a;ht…
阅读更多...
2434. 使用机器人打印字典序最小的字符串

2434. 使用机器人打印字典序最小的字符串

点击跳转题目 本题学到两点&#xff1a; 1.初始化数组&#xff0c;全部为0的简单写法。之前都是 int arr[26]; memset(arr,0,sizeof(arr));2.if条件中的&&部分左右顺序不能颠倒。颠倒报错&#xff0c;之前一直没重视。 思路&#xff1a; 遍历s&#xff0c;push当前字…
阅读更多...
最新文章

Copyright @ 2022~2023