1
我正在開發將與客戶移動application.I跨越稱爲XSS和XHR.I服務器上的一些攻擊來進行交互的服務器的NodeJS遇到了一個模塊調用節點驗證器對於處理和驗證輸入非常有用。我需要一個想法,瞭解XSS和XHR攻擊是否具有相同的效果,以及該模塊是否對兩者都有用。對此的任何想法都將非常有用。XHR攻擊
Q
XHR攻擊
A
回答
1
XSS攻擊也被稱爲一個跨站腳本攻擊。當攻擊者利用未經過清理的輸入字段將JavaScript注入應用程序時。一個常見的例子是如果攻擊者設法將JavaScript注入到博客文章評論中。那麼,如果每次有人查看評論,就會執行(如果處理不當)。這種類型的攻擊的例子可以閱讀關於here。
一個XHR攻擊只會是XSS攻擊,其中注入腳本使得AJAX調用回域服務器的擴展。
它實際上是相當容易的,以防止這些類型的攻擊。通過驗證您的輸入(剔除HTML標籤)和轉義特殊字符,如」,」,',等您可以防止這一點。我肯定會推薦使用外部庫這一點,因爲你可能會在自己錯過的東西。
此外,這是一個類似的問題可以幫助你。Sanitizing user input before adding it to the DOM in Javascript
2
如果您正在使用expressjs /連接,然後有一個「內置」 csrf middleware in connect。
相關問題
- 1. 如何應對攻擊xmlrpc.php攻擊
- 2. 跨站點腳本攻擊(xss)攻擊
- 3. Nhibenate-DOS攻擊
- 4. 字典攻擊
- 5. 蠻力攻擊
- 6. 攻擊堆棧
- 7. 堆溢出攻擊
- 8. 線性化攻擊
- 9. SQL注入攻擊
- 10. 可能的攻擊
- 11. MySQL蠻力攻擊
- 12. XSS攻擊防護
- 13. HTTPS和MITM攻擊
- 14. Bruteforce攻擊項目
- 15. 如何攻擊RC4
- 16. PHP包含攻擊
- 17. 嘗試攻擊mysql?
- 18. 堆溢出攻擊
- 19. 防止XSS攻擊
- 20. SQL注入攻擊
- 21. WordPress黑客攻擊
- 22. 攻擊追蹤WATIR
- 23. 中間人攻擊
- 24. JavaScript注入攻擊
- 25. 防止XSS攻擊
- 26. Exchange 2010 MITM攻擊
- 27. 捍衛DOS攻擊
- 28. 通過java.awt.Font攻擊
- 29. XSS攻擊防範
- 30. 模擬CSRF攻擊
我使用CSRF中間件防止XSS和XHR通過要求將一個令牌提交給所有的POST請求來進行攻擊,這個令牌是由服務器在每個頁面請求中生成的,這對我來說是個詭計,我已經對它進行了測試,試圖對我自己的網站進行攻擊不同的服務器和所有請求被阻止,因爲令牌丟失。 – ChrisRich 2015-01-10 23:53:55