出现原因:恶意代码没有经过过滤,和合法代码混合在一起,浏览器无法识别那些是恶意代码,导致恶意代码被执行。
解决方式:
- 前端对输入进行过滤。输入侧对于明确的输入类型,比如数字,url,电话号码,邮箱,身份证等进行判断是否符合。
- 后端使用模版引擎(doT.js、ejs等)进行转译HTML。也就是将&<>"’/几个字符转译掉。
- 限制输入的长度。
- 响应头设置cookie为HTTPOnly。大多数xss攻击都是通过脚本来盗取cookie,可设置HTTPOnly属性,禁止JavaScript读取cookie。
- 使用内容安全策略CSP(配置白名单)。CSP就是通过添加Content-security-Policy头部到一个页面,并配置馅饼的值,让服务器决定浏览器能够加载哪些资源