跨站点脚本(XSS)现在是另一个应用开发者面临的问题。这是恶意用户向用户浏览的web应用网页注入代码的地方。通常都没有任何迹象指示正在发生什么。但在幕后,用户信息却被操作和盗取。
对抗XSS是个挑战,应用开发者通常用限制被键入到输入域内容的方法来对抗。 Walker提到“问题是,我们懒惰,实际上搞定它很难。你放置内容的地方是和语义相关联的,除非你完全理解那个语义,否则将遇到麻烦。” Walker说开发者在输入域中一般应该不容许HTML。
此外,输入应该基于“安全”的输入值来过滤,输出应该被目的地环境所过滤。 Google软件工程师Ben Lisbakken说“CSRF在我看来是最……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
跨站点脚本(XSS)现在是另一个应用开发者面临的问题。这是恶意用户向用户浏览的web应用网页注入代码的地方。通常都没有任何迹象指示正在发生什么。但在幕后,用户信息却被操作和盗取。
对抗XSS是个挑战,应用开发者通常用限制被键入到输入域内容的方法来对抗。
Walker提到“问题是,我们懒惰,实际上搞定它很难。你放置内容的地方是和语义相关联的,除非你完全理解那个语义,否则将遇到麻烦。”
Walker说开发者在输入域中一般应该不容许HTML。此外,输入应该基于“安全”的输入值来过滤,输出应该被目的地环境所过滤。
Google软件工程师Ben Lisbakken说“CSRF在我看来是最普遍的威胁, 它到处都是。它容易修复但也很容易被利用。很多人在他们的网站上登录,但不是每个人知道这个登录能被漏洞利用。”
Lisbakken表示作为一名Google的新工程师,他甚至在他写过的自认为足够安全的应用中发现这样一个安全风险。
多个漏洞一起就叫做组合进攻,虽然风险更小,但也很重要。例如,网络蠕虫可以使用XSS和CSRF属性来跳过社交网络并在指数级别上感染用户。Web应用必须通过对这两种袭击的安全防范来抵御这种蠕虫。
Click Jacking也不时地攻击用户。在一个网页作为不可见的iframe覆盖另一页的网页的地方,诱使用户点击一个未知的按钮。为了避免这种情况,Walker推荐尽可能配置您的应用来禁止在iframes上显示。
翻译
相关推荐
-
Mashups和Web服务(下)
一些复杂有效的mashup开发的复杂性就在于此。因为一个终端用户访问将访问的Web服务属于不同的数据源,浏览器就会产生严重的浏览器安全漏洞……
-
Gartner:云计算服务的七大潜在安全风险
虽然云计算(cloud-computing)产业具有巨大市场增长前景,但对于使用这项服务的企业用户来说,他们应该意识到,云计算服务存在着七大潜在安全风险。