我正在开发一个使用大量 JavaScript 和 jQuery 的电子商务应用程序。在处理任何内容之前,所有内容都会在服务器端进行检查,但最近有很多关于通过 JavaScript 进行基于 Web 的入侵的新闻。我只是想知道我可以做些什么来减少这种威胁,以及是否有任何好的网站提供这方面的信息。
提前致谢!
最佳答案
这是阅读 XSS 的一个很好的链接: https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
基本上,“黑客”在使用 XSS 时试图做的是让用户认为您的网站正在向他们索要安全的东西,而实际上“黑客”是在询问(通过将脚本注入(inject)您的网站)和正在将该数据发送到不安全的地方。有多种口味。
通常的预防措施是清理您的数据(因此“黑客”无法通过数据输入注入(inject)脚本)。基本上,任何动态创建或来自用户(甚至是您自己的内容人员)的内容都应该进行编码,以便脚本等无法执行。
许多人似乎对 XSS 的目标感到困惑。如果您认为您的服务器及其上的数据是唯一需要保护的东西,那您就错了。 XSS 通常针对用户,而不是服务器,“黑客”试图从用户那里窃取,而不是服务器(或其所有者)。从用户窃取可能反过来导致从服务器窃取(获得用户凭据,现在去购买冒充用户的东西)。
关于JavaScript 安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6946558/