标签:XSS

安全

XSS 前端防火墙-整装待发

7

新一 发布于 2年前 (2014-06-20)

到目前为止,我们把能用前端脚本防御XSS的方案都列举了一遍。尽管看起来似乎很复杂累赘,不过那些是理论探讨而已,在实际中未必要都实现。我们的目标只是为了预警,能发现问题就行,并非要做到滴水不漏的程度。事实上,HTML5早已制定了一套浏览器XSS解决方案—— ContentSecur...

阅读(1035)评论(0)赞 (0)

安全

XSS 前端防火墙-天衣无缝的防护

1

新一 发布于 3年前 (2014-06-19)

上一篇讲解了钩子程序的攻防实战,并实现了一套对框架页的监控方案,将防护作用到所有子页面。到目前为止,我们防护的深度已经差不多,但广度还有所欠缺。例如,我们的属性钩子只考虑了setAttribute,却忽视还有类似的setAttributeNode。尽管从来不用这方法,但并不意味人...

阅读(980)评论(0)赞 (0)

安全

XSS 前端防火墙-无懈可击的钩子

2

新一 发布于 3年前 (2014-06-19)

昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了:静态模块:使用MutationObserver扫描。动态模块:通过API钩子来拦截路径属性。提到钩子程序,大家会联想到传统应用程序里的APIHook,以及各种外挂木马。当然,未必是系统...

阅读(985)评论(0)赞 (0)

安全

XSS 前端防火墙-可疑模块拦截

5

新一 发布于 3年前 (2014-06-17)

上一篇介绍的系统,虽然能防御简单的内联XSS代码,但想绕过还是很容易的。由于是在前端防护,策略配置都能在源代码里找到,因此很快就能试出破解方案。并且攻击者可以屏蔽日志接口,在自己电脑上永不发出报警信息,保证测试时不会被发现。昨天提到最简单并且最常见的XSS代码,就是加载站外的一个...

阅读(1049)评论(0)赞 (1)

安全

XSS 前端防火墙-内联事件拦截

1

新一 发布于 3年前 (2014-06-17)

关于XSS怎样形成、如何注入、能做什么、如何防范,前人已有无数的探讨,这里就不再累述了。本文介绍的则是另一种预防思路。几乎每篇谈论XSS的文章,结尾多少都会提到如何防止,然而大多万变不离其宗。要转义什么,要过滤什么,不要忘了什么之类的。尽管都是众所周知的道理,但XSS漏洞十几年来...

阅读(968)评论(0)赞 (0)