WEB开发的安全之旅：防御篇 ｜ 青训营笔记

这是我参与「第四届青训营 」笔记创作活动的的第10天。

一、XSS

二、防御XSS的现成工具：

三、防御示例

String->DOM 要对String进行转译

上传svg 要对svg文件进行扫描

自定义跳转链接 要进行过滤

自定义样式 需要留意

补充：Same-origin Policy 同源策略

Content Security Policy (CSP) 内容安全策略

CSRF的防御

CSRF---iframe攻击

CSRF anti-pattern

CSRF 避免用户信息被携带： SameSite Cookie

SameSite VS CORS

Injection 防御

Injection beyond SQL

DOS防御

DDOS防御

传输层防御---防御中间人

HTTPS的一些特性：

HTTPS的大致流程：

HTTPS--完整性

补充：数字签名

HTTPS---不可抵赖：数字签名

HTTPS---证书 续

HTTP strict-Transport-Security(HSTS)

Subresource Integrity(SRI)

SRI---demo

Feature Policy/Permission Policy

四、尾声：