
增强
Web
应用的安全
|
135
最后,基于
DOM
的
XSS
会修改客户端代码,经常攻击
URL
的片段标识符(一
种标记,常做导航用途)。
另一种基于
DOM
的
XSS
是修改
HTML5 LocalStorage
中的条目。
OWASP
发
布了一份速查表,在构建
HTML5
应用时方便我们检查应用的安全。
注
8
测试
XSS
保护机制
本节探讨基本的间接注入攻击的工作原理,并说明
Node
、
HTTP
和浏览器为
避免遭受这一攻击而提供的防护机制。
首先,我们要新建一个易受攻击的项目(使用
Express
生成器)。请在终端执
行下述命令:
express xss
cd express
npm install .
上述命令生成基本的应用结构。安装好所需的模块之后,开始实现基本的用
户注册功能,保存在
views/in-dex.jade
文件中。用户输入姓和名之后,在个人
资料页面显示出来。
extends layout
block content
h1 Registration
form(method='POST', action='/register')
fieldset
legend Your details
label(for='firstname') Firstname
input(id='firstname', name='firstname', type='text')
label(for='lastname') Lastname
input(id='lastname', name='lastname', type='text') ...