我聽我的朋友談論這個叫做“CSS 注入”的漏洞,但是,我不知道這是什么,一聽到我就想,怎么可能使用 CSS 進行任何惡意活動或攻擊?
所以我想知道這個“CSS 注入”漏洞是什么以及如何防止它。
uj5u.com熱心網友回復:
它是什么?
CSS 注入意味著攻擊者設法將惡意 CSS 代碼上傳到您的網站,這些代碼將在您的訪問者瀏覽器上運行。
危險嗎?
在 2022 年寫這篇文章,不,CSS 注入幾乎不會影響任何人,因為瀏覽器已經克服了這一點,但請注意,一些使用舊瀏覽器的用戶可能會受到此影響。
我應該做些什么嗎?
是的,您應該這樣做,盡管目前這不是真正的風險,但您應該防止攻擊者將惡意CSS和JavaScript注入您的網站, JavaScript非常重要,因為最近對某些漏洞進行了批量處理,并且大多數用戶沒有將瀏覽器更新到最新版本版本呢。
如何保護?
您應該始終從惡意注入中過濾用戶輸入,但額外的保護層是:
所有這些的解決方案是使用CSP標頭 (內容安全策略),它允許您防止瀏覽器在您的網站上執行惡意代碼。
在apache htaccess檔案中添加以下內容但應啟用mod_headers
Header set Content-Security-Policy "default-src 'self';script-src 'self';style-src 'self'; object-src 'none'; frame-ancestors 'none'; form-action 'self'; base-uri 'self';"
請注意,如果您使用來自其他域的CSS或JavaScript,則無法使用上述代碼。
有關更多資訊并了解代碼中的每個單詞的含義,請訪問MDN CSP
編輯:
CSS注入的最簡單示例是,當攻擊者設法向您的網站注入加載外部資產(例如在后臺)的CSS代碼時,這些資產是有效載荷,幸運的是大多數瀏覽器都克服了此類漏洞。
background: url(http://somehackerdomain.com/payload...)
另一個仍然影響所有現代瀏覽器的CSS注入的簡單示例是,如果您的網站JavaScript使用CSS屬性值,那么攻擊者可以為該屬性設定一個新值作為可能竊取 cookie 等的 JavaScript 代碼。
保護 cookie 的第三層保護是使用httponly來防止JavaScript訪問它們。
這些只是一些簡單的例子。
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/401316.html
下一篇:使:after箭頭更寬
