<p>與HTML相關的安全性漏洞最常見的是：1?？缯军c腳本（XSS），當HTML中包含不信任的用戶輸入而無需適當?shù)奶颖?，允許惡意腳本注入時，會發(fā)生這種情況；通過使用安全框架逃脫輸入並實現(xiàn)CSP來防止它； 2。不安全使用內(nèi)聯(lián)腳本和事件處理程序，例如OnClick，這會增加XSS風險和阻礙CSP執(zhí)行；而是使用AddEventListener（）使用外部JavaScript; 3。缺少或弱的內(nèi)容安全策略（CSP），其中允許“不安全的內(nèi)線”腳本破壞安全性；相反，如果需要，請使用嚴格的源政策和NONCE； 4。通過元刷新或鏈接中的不信任的URL參數(shù)打開重定向，這可能導致網(wǎng)絡釣魚；總是驗證和白名單重定向目的地； 5。不用在豐富的內(nèi)容中對HTML進行消毒，使攻擊者能夠注入諸如腳本或OnError屬性之類的有害元素；減輕使用庫或轉(zhuǎn)換為標記等庫； 6。缺少安全標頭，例如X-content-type-options，X框架選項，推薦人 - 政策和Permissions-Policy，應通過HTTP標頭進行設置，以防止Mime嗅探，click jacking和未經(jīng)授權的功能訪問；總體而言，切勿信任用戶輸入，始終在渲染之前逃脫數(shù)據(jù)，將邏輯與內(nèi)容分開，並與適當?shù)牟呗院蜆祟}安全地服務。 </p> <p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175429392395796.jpeg" class="lazy" alt="什麼是常見的HTML安全漏洞"></p> <p>當使用HTML構(gòu)建網(wǎng)站時，重要的是要記住，HTML本身並不是固有的不安全，而是它如何與動態(tài)內(nèi)容，用戶輸入以及JavaScript和HTTP（HTTP）的其他技術相互作用可以引入嚴重的安全風險。這是開發(fā)人員應避免的最常見的與HTML相關的安全漏洞： </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175429392451658.jpeg" class="lazy" alt="什麼是常見的HTML安全漏洞"><h3 id="跨站點腳本-XSS"> 1?？缯军c腳本（XSS）</h3> <p> <strong>XSS</strong>是與HTML相關的最關鍵漏洞。當攻擊者將惡意腳本注入其他用戶查看的網(wǎng)頁中時，就會發(fā)生這種情況。當HTML輸出中包含未經(jīng)信任的用戶輸入（例如表單數(shù)據(jù)或URL參數(shù)）而沒有適當?shù)南緯r，就會發(fā)生這種情況。</p> <p><strong>例子：</strong> </p> <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175429392395796.jpeg" class="lazy" alt="什麼是常見的HTML安全漏洞"><pre class='brush:php;toolbar:false;'> <！ - 不安全：直接嵌入用戶輸入 - > <div>歡迎，<script>警報（'hacked！'）; </script> </div></pre><p><strong>如何防止它：</strong></p><ul><li><strong>逃脫用戶輸入：</strong>始終逃脫特殊字符，例如<code><</code> ， <code>></code> <code>&</code> <code>"</code> <code>'</code>然後將其插入HTML之前。</li><li>使用自動逃脫輸出的框架（例如，反應，角）。</li><li>實施<strong>內(nèi)容安全策略（CSP）</strong>以限制內(nèi)聯(lián)腳本的執(zhí)行。</li><li>驗證和對客戶端和服務器側(cè)面的所有用戶輸入進行驗證。</li></ul><h3 id="對內(nèi)聯(lián)腳本和事件處理程序的不安全使用"> 2。對內(nèi)聯(lián)腳本和事件處理程序的不安全使用</h3><p>在HTML屬性中使用Inline JavaScript（例如， <code>onclick</code> ， <code>onload</code> ）可以增加XSS風險，並使執(zhí)行安全策略更加困難。 </p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/175429392786679.jpeg" class="lazy" alt="什麼是常見的HTML安全漏洞" /><p><strong>例子：</strong></p><pre class='brush:php;toolbar:false;'> <button onclick =“ alert（'hello'）”>單擊我</button></pre><p><strong>為什麼有風險：</strong></p><ul><li>使得應用嚴格的CSP規(guī)則很難。</li><li>鼓勵將邏輯與演示效果混合，增加攻擊表面。</li></ul><p><strong>最佳實踐：</strong></p><ul><li>使用<code>addEventListener()</code>通過外部JavaScript通過外部JavaScript附加事件偵聽器。</li><li>將JavaScript放在單獨的文件中，並完全避免進行內(nèi)聯(lián)腳本。</li></ul><h3 id="缺少或弱內(nèi)容安全策略-CSP"> 3。缺少或弱內(nèi)容安全策略（CSP）</h3><p> CSP是HTTP標頭，通過指定允許加載哪些內(nèi)容來源來幫助防止XS和數(shù)據(jù)注入攻擊。</p><p><strong>常見錯誤：</strong></p><pre class='brush:php;toolbar:false;'> content-security-policy：script-src“不安全inline”；</pre><p>這允許內(nèi)聯(lián)腳本，擊敗關鍵保護。</p><p><strong>受到推崇的：</strong></p><pre class='brush:php;toolbar:false;'> content-security-policy：default-src'self'; Script-Src'self'; style-src'self'“不安全界線”；</pre><ul><li>將資源限制在您自己的領域。</li><li>避免使用<code>'unsafe-inline'</code>和<code>'unsafe-eval'</code> 。</li><li>如果絕對需要，請使用Nonces或哈希進行合法的內(nèi)聯(lián)腳本。</li></ul><h3 id="打開重定向和不安全的鏈接"> 4。打開重定向和不安全的鏈接</h3><p>HTML鏈接或META刷新可以濫用基於不受信任的輸入的用戶以進行網(wǎng)絡釣魚。</p><p><strong>例子：</strong></p><pre class='brush:php;toolbar:false;'> <meta http-equiv =“ refresh” content =“ 0; url = https：//example.com？redirect = user-supplied-url”></pre><p><strong>風險：</strong>攻擊者可以製作將用戶重定向到惡意網(wǎng)站的URL。</p> <p><strong>預防：</strong></p> <ul> <li>避免在重定向URL中直接使用用戶輸入。</li> <li>驗證和白名單重定向目的地。</li> <li>使用相對路徑或已知的安全域。</li> </ul> <h3 id="不為豐富的含量消毒html"> 5。不為豐富的含量消毒html</h3> <p>如果您的網(wǎng)站允許豐富的文本（例如，評論，格式化的博客文章），則允許RAW HTML打開XSS的門。</p> <p><strong>示例：</strong>允許用戶輸入<code><img src="/static/imghw/default1.png" data-src="x" class="lazy" onerror="maliciousCode()" alt="什麼是常見的HTML安全漏洞" ></code> 。</p> <p><strong>解決方案：</strong></p> <ul> <li>使用受信任的HTML消毒庫（例如，Dompurify）。</li> <li>將用戶內(nèi)容轉(zhuǎn)換為諸如Markdown之類的安全格式，並將其安全渲染。</li> <li>剝離或逃脫所有腳本，iframe和事件處理程序標籤。</li> </ul> <h3 id="缺少安全標頭"> 6。缺少安全標頭</h3> <p>雖然不是直接的HTML標記的一部分，但安全標頭與HTML內(nèi)容緊密合作以保護用戶。</p> <p><strong>基本標題：</strong></p> <ul> <li> <code>X-Content-Type-Options: nosniff</code> - 防止Mime型嗅探。</li> <li> <code>X-Frame-Options: DENY</code>或<code>SAMEORIGIN</code> - 防止點擊夾克。</li> <li> <code>Referrer-Policy</code> - 控制發(fā)送了多少推薦人信息。</li> <li> <code>Permissions-Policy</code> - 限制瀏覽器功能（相機，地理位置等）。</li> </ul> <p>這些應通過HTTP標頭設置，而不是HTML元標記（儘管可以用作元標記作為後備）。</p> <hr> <p>基本上，與HTML相關的最大風險是將不受信任的數(shù)據(jù)視為安全的。始終假設用戶輸入是危險的，在渲染之前將其逃脫，將代碼與內(nèi)容分開並使用現(xiàn)代安全標頭。這不僅僅是編寫乾淨的HTML，這是關於如何生成和提供HTML的。</p>

以上是什麼是常見的HTML安全漏洞的詳細內(nèi)容。更多資訊請關注PHP中文網(wǎng)其他相關文章！