l2d 最近的时间轴更新
l2d

l2d

V2EX 第 579461 号会员,加入于 2022-04-27 14:00:50 +08:00
今日活跃度排名 12500
根据 l2d 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
l2d 最近回复了
这个问题大概率来源是跨站脚本攻击( XSS )。

先从加载的位置删除这个脚本,这个是缓解措施。然后在后端加输入过滤,尤其是涉及数据库操作和直接返回外部输入的。从输入中转义掉 html 标签,双引号、实体编码等字符。
还有开启一些全局的 XSS 防御配置项,比如 Spring 框架可以开启全局 xss 防护和 csp 限制 javascript 脚本的加载来源:
@Configuration
public class SecurityConf {

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.headers()
.xssProtection()
.and()
.contentSecurityPolicy("script-src 'self'");
return http.build();
}
}

当然 csp 也包含一些其他的安全策略,可以参考 MDN 的官方文档: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

另外就是前端不要拼接原生 html ,如果需要自定义 html 的,用白名单标签做防御,白名单以外的标签转移掉
36 天前
回复了 linuxsteam 创建的主题 问与答 公司深信服行为管理禁止了 代理工具
@Mrun 本机不需要识别代理,只需要识别代理进程
55 天前
回复了 P0ng64 创建的主题 问与答 有没有讲社会常识的书或者课程?
@1423 b64 编码一下
我是大一开始自学,大四找工作的时候已经写了四年代码,自然就找到了
76 天前
回复了 ShannonLee 创建的主题 酷工作 [上海]蔚来汽车 大量信息安全岗位 2022Q4
攻防岗对工作年限有要求吗?刚毕业没两年,想试试
建议提前说清楚薪资是包含数字货币的...不然投简历过去问了才知道
133 天前
回复了 morphyhu 创建的主题 程序员 阿里的轻量云发现有一个这样的 LKM 模块.
不然呢?要不先看看目前主流的 HIDS 都是怎么实现的...?
你做 rootkit 检测, 监控 cred 变化情况都得用 LKM 。而且用 kprobe 检测系统调用也是要 lkm 加载检测模块的啊。
选 1. 后端有前端的项目经验当然是加分项了,以后进厂做后端也要和前端对接的。何况微软的牌子直接含金量拉满了。
做云原生安全的感觉目前不是很多呀,我还是挺想去的。要是有社招就好了,顺便帮顶一下
162 天前
回复了 ThanksSirAlex 创建的主题 酷工作 米哈游内推,欢迎骚扰
@puritania 我也这种感觉,简历方向对口+面试感觉 ok ,面试官也反馈一些问题答得很好,一看结果一面挂
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1331 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 16ms · UTC 19:32 · PVG 03:32 · LAX 11:32 · JFK 14:32
Developed with CodeLauncher
♥ Do have faith in what you're doing.