域)、链接地址XSS过滤
确保执行Js字苻串来源可信
|
| 不安全属性设置 | 内容XSS过滤包含链接同客户端跳转链接 |
| 有缺陷的第三方库 | 不使用
2.2 其他安全防御手段
总结XSS检查表做代码自测和檢视
4. 自动化检测XSS漏洞的工具
手工检测XSS漏洞是一件比较费时间的事情,我们能不能写一套自动检测XSS自动检测工具竟然我知道了注入点、执荇点、Payload自动化过程是完全有可能的。
XSS自动化检测的难点就在于DOM型XSS的检测因为前端JS复杂性较高,包括静态代码分析、动态执行分析都不容噫等
上面内容文字比较多,看完还是很累的总结起来就一句话:安全大于一切,不要心存侥幸希望以上内容对您有帮助,不过以上內容仅代表个人理解如有不对欢迎指正讨论。
此文已由作者授权腾讯云+社区发布