如何保证网站安全检查

Question

如何保护表单免受脚本注入攻击。这是最常用的攻击形式之一，攻击者尝试通过表单字段注入 JS 脚本。这种情况的验证必须检查表单字段中的特殊字符。寻找 在互联网/jquery 等上对允许的字符和字符的建议、推荐 字符屏蔽验证 JS 代码。

Answer 1

您可以使用HTML Purifier（如果您使用的是 PHP 或者您可能有其他选项）以避免XSS（跨站点脚本）< /a> 攻击达到很高的水平，但请记住没有解决方案是完美的或 100% 可靠的。这应该对您有帮助，并且永远记住服务器端验证始终是最好的，而不是依赖 javascript，坏人可以轻松绕过禁用 javascript。

对于SQL 注入，您需要从以下查询中转义无效字符：可用于操作或注入查询，并对要插入数据库的所有值使用类型转换。

请参阅安全指南了解更多安全风险以及如何避免这些风险。请注意，即使您不使用 PHP，安全性的基本思想也是相同的，这应该可以让您更好地了解安全性考虑因素。

Answer 2

如果您在 html 上下文中输出用户控制的输入，那么您可以遵循其他人的做法并在处理输入（html 净化、自定义输入验证）时进行清理和/或在输出之前对值进行 html 编码。

htmlencodng/strip 标签（不需要标签）不够的情况：

1. 用户输入出现在属性中，那么这取决于您是否总是（双）引用属性（坏）
2. 在 on* 处理程序中使用（例如 onload="..），则 html 编码是不够的，因为 javascript 解析器是在 html 解码之后调用的。
3. 出现在 javascript 部分 - 取决于它是在带引号的区域（htmlentity 编码不够）还是未带引号的区域（非常糟糕）。
4. 以 json 形式返回，可以对其进行评估。需要 JavaScript 转义。

appears in CSS - css escape is different and css allows javascript (expression)

此外，这些并没有考虑到浏览器缺陷，例如不完整的 UTF-8 序列利用、内容类型嗅探利用（UTF-7 缺陷）等。

当然，您还必须处理数据以防止其他攻击（SQL 或命令注入 ） ）。

Answer 3

最好的参考可能是 OWASP XSS 预防备忘单

Answer 4

ASP.NET 有一个名为请求验证的功能，该功能将阻止未编码的 HTML正在由服务器处理。如需额外保护，可以使用 AntiXSS 库。

Answer 5

您可以通过对 html 内容进行编码来防止脚本注入，例如

Server.HtmlEncode(input)

Answer 6

还有 OWASP EASPI。