请选择 进入手机版 | 继续访问电脑版

专注代码检测 - 阅镜

 找回密码
 立即注册
热搜: 安装 代码
查看: 114|回复: 0

响应输出

[复制链接]

70

主题

70

帖子

232

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
232
发表于 2021-9-12 14:45:29 | 显示全部楼层 |阅读模式
【必须】设置正确的HTTP响应包类型
响应包的HTTP头“Content-Type”必须正确配置响应包的类型,禁止非HTML类型的响应包设置为“text/html”。

【必须】设置安全的HTTP响应头
  • X-Content-Type-Options
  • 添加“X-Content-Type-Options”响应头并将其值设置为“nosniff ”
  • HttpOnly 控制用户登鉴权的Cookie字段 应当设置HttpOnly属性以防止被XSS漏洞/JavaScript操纵泄漏。
  • X-Frame-Options:设置X-Frame-Options响应头,并根据需求合理设置其允许范围。该头用于指示浏览器禁止当前页面在frame、 iframe、embed等标签中展现。从而避免点击劫持问题。它有三个可选的值: DENY: 浏览器会拒绝当前页面加 载任何frame页面; SAMEORIGIN:则frame页面的地址只能为同源域名下的页面 ALLOW-FROM origin:可以定 义允许frame加载的页面地址。

【必须】对外输出页面包含第三方数据时须进行编码处理
当响应“Content-Type”为“text/html”类型时,需要对响应体进行编码处理
  1. # 推荐使用mozilla维护的bleach库来进行过滤
  2. import bleach
  3. bleach.clean('an <script>evil()</script> example')
  4. # u'an &lt;script&gt;evil()&lt;/script&gt; example'
复制代码
回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies |上传

本版积分规则

QQ|Archiver|手机版|小黑屋| 阅镜 ( 京ICP备2020034574号 )|网站地图|网站地图点击这里给我发消息

GMT+8, 2022-1-17 09:55 , Processed in 0.063084 second(s), 20 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表