XSS 参考

XSS 攻击类型

Stored XSS
恶意脚本存储在数据库中,影响所有查看内容的用户。
Reflected XSS
脚本通过 URL 参数注入,响应中未净化直接输出。
DOM-based XSS
客户端 JS 不安全地处理 URL/DOM 数据导致的漏洞。

防护技术

技术示例
输出编码htmlspecialchars($var, ENT_QUOTES)
CSP 头部Content-Security-Policy: default-src 'self'
安全 APIelement.textContent = data // not innerHTML
输入验证白名单允许的字符/模式
HttpOnly CookieSet-Cookie: session=...; HttpOnly; Secure

相关工具推荐

🔒 SSL 证书检查 检查网站 SSL 证书状态与有效期 🧮 密码熵计算 计算密码的信息熵和破解难度 🗃 SQL 注入参考 SQL 注入测试与防御参考手册 🛡 CSP 生成 生成 Content Security Policy 策略 🔑 OAuth 构建 构建 OAuth 2.0 授权请求参数 🔍 敏感信息检测 检测文本中的密钥、密码等敏感信息 🔒 哈希算法参考 常见哈希算法速查与安全性参考 🔐 SSL/TLS 参考 SSL/TLS 协议版本与密码套件参考 🎫 JWT 最佳实践 JWT 安全使用指南与常见错误 🌐 CORS 安全指南 CORS 跨域配置安全最佳实践 限流模式参考 令牌桶、滑动窗口等限流算法参考 🔍 依赖审计参考 npm/pip/go 依赖安全审计命令