fir*_*ire 6 javascript security xss web
有没有人知道任何脚本注入扫描仪能够检测您的网站是否已被入侵(即注入的javascript应该不存在)?
这很困难:您需要测试应用程序的每个 URL 并检查回复中是否存在特定模式(并且很难有一个好的算法可以理解 JavaScript 的好坏,或者您需要配置此扫描仪可能又长又棘手)。
服务器端有一个名为mod security的实时开源解决方案。它是一个 Web 应用程序防火墙:它可以检测请求和/或响应中的特定模式。它作为一个模块在 apache 上运行。这主要是生产解决方案,在开发过程中不检测注入。此外,您需要一些经验来调整它(与我们的客户交换数据的好坏),这可能很棘手,并且不能防止新的攻击或更智能的攻击(例如重新编码字符)。
顺便说一句,另一种解决方案是使用内容安全策略,但它并非在所有浏览器中都可用(好吧,目前还没有,请等待 Firefox 4;-)。