HttpOnly:
浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。httponly解决的是XSS后的Cookie劫持。给cookie添加httponly代码。
输入检查,输出检查:
使用编码或转义的方式。
安全的编码函数:
HtmlEncode至少转义以下字符:
&—— &
<—— <
>—— >
"—— "
'—— '
/—— /
处理富文本:
在标签选择上使用白名单,避免使用黑名单。
防御DOM Based XSS:
(未完成,参考《白帽子讲web安全》)