我在 OWASP 和网络上看到了很多关于如何避免/防止 XSS 攻击的信息。但是,我还没有找到任何提及在检测到 XSS 攻击时如何响应的内容。
应返回什么 HTTP 状态代码(即 400、403...)?您应该在屏幕上还是在 console.log 上提供错误消息?将他们重定向到另一个页面?
您应该发送 HTTP 400(错误请求)响应代码和最小错误消息,足以使技术支持可以帮助合法用户,但不会向攻击者提供信息。
也记录请求。
合法用户可能会输入一些他们不应该输入的信息,因此您不应该采取过于严厉的措施。
一个真实的例子是 Hibernate Validator 的 @SafeHtml 验证,如果输入可能是 XSS,它将导致 400 状态代码。
| 归档时间: |
|
| 查看次数: |
2193 次 |
| 最近记录: |