Web安全防御篇 | 青训营笔记

ztl58553116
74 阅读1分钟

Web安全防御篇 | 青训营笔记

这是我参与「第五届青训营 」笔记创作活动的第8天

一、XSS

  • 永远不信任用户的提交内容
  • 不要将用户提交的内容直接转换为DOM

image.png

1.XSS线程工具

image.png

2.需要留意的地方

(1)string->DOM

image.png

(2)上传svg

image.png

(3)Blob动态生成script

image.png

(4)自定义跳转链接

image.png

(5)自定义样式

image.png

二、CSRF的防御

插播:Same-origin-policy

协议、域名、端口均相同则同源 (1)Content Security Policy

image.png

(1) Origin + Refer

image.png

image.png

image.png

(2) token

image.png

(3) iframe防范

image.png

(4)anti-pattern

image.png

警告:不要把GET和POST放在同一接口

(5) same-site-cookie

image.png

image.png

三、Injection

(1) beyond SQL

image.png

(2)防御DOS

i.Regex Dos

image.png

ii.logical Dos

image.png

iii.DDOS

image.png

四、防御中间人

http的一些特性

  • 可靠性: 加密
  • 完整性: MAC验证
  • 不可抵赖性: 数字签名
avatar
文章
阅读
粉丝