问:我对防御跨站脚本攻击(XSS) 很有兴趣。如果我拒绝使用<、 >、脚本——以及容易导致恶意攻击的同等实体参数——这样的字符和词语,那么就会增加应用开发的成本。你会推荐这种“作战”方式吗? 答:不,相反,我推荐开发人员在他们的应用代码中只允许适应应用功能所必需的规定字符。这是应用开发的最佳做法。
很多企业都把安全代码作为在开发过程的最后才会发生的事情。但是,如果在开发周期的最后阶段测试应用的人说应用需要记录来保证安全性,那么应用就需要重写并重新测试,与之相结合的其他应用也是如此。这种持续的矛盾比在安全开发周期中进行的不断地安全过程成本高得多。 如果有一种领域称为“稳定……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我对防御跨站脚本攻击(XSS) 很有兴趣。如果我拒绝使用<、 >、脚本——以及容易导致恶意攻击的同等实体参数——这样的字符和词语,那么就会增加应用开发的成本。你会推荐这种“作战”方式吗?
答:不,相反,我推荐开发人员在他们的应用代码中只允许适应应用功能所必需的规定字符。这是应用开发的最佳做法。
很多企业都把安全代码作为在开发过程的最后才会发生的事情。但是,如果在开发周期的最后阶段测试应用的人说应用需要记录来保证安全性,那么应用就需要重写并重新测试,与之相结合的其他应用也是如此。这种持续的矛盾比在安全开发周期中进行的不断地安全过程成本高得多。
如果有一种领域称为“稳定”,例如,就没有理由允许<、>、;、*、--或者:作为可能参数。如果应用开发人员写的代码只允许接受已知的良好参数,就会通过减少质量担保和认证以及信赖测试的成本降低应用开发的整体成本。
作者
翻译
相关推荐
-
XSS与XSSI区别何在?
跨站脚本(XSS)和跨站脚本包含(XSSI)之间的区别是什么?防御方法有什么不同?在本文中,专家Michael Cobb将就此进行详细探讨。
-
Heartbleed事故后:软件政策何去何从?(下)
面对资源限制,企业越来越多地使用开源库和第三方组件来开发复杂的应用,而通过重写开源和第三方组件开发使用的脚本可以降低企业的风险。
-
Heartbleed事故后:软件政策何去何从?(上)
面对资源限制,企业越来越多地使用开源库和第三方组件来开发复杂的应用;而通过重写开源和第三方组件开发使用的脚本可以降低企业的风险。
-
Radware DDoS攻击防护及缓解服务助哥伦比亚国家警察局化解网络攻击
哥伦比亚国家警察局部署了Radware设备,用以全天候保护网络免遭包括DDoS攻击、跨站脚本攻击和SQL注入攻击等在内的网络攻击的侵扰。