Security By Hank

XSS (跨站腳本攻擊) 防護

輸出編碼

當網頁顯示使用者輸入的內容時(如留言板),駭客可能注入 <script> 標籤竊取 Cookie。
防禦:

  1. 在輸出到 HTML 前進行 HTML Entity Encode
  2. 設定 HTTP Header Content-Security-Policy (CSP) 限制腳本來源。
← 返回所有文章