跨站点脚本 (XSS) 攻击将恶意脚本插入其他受信任的网站。 XSS 攻击者使用 Web 应用程序向最终客户发送恶意代码,通常以浏览器端脚本的形式发送。 这些攻击会在 Web 应用程序将用户输入数据包含在其在没有首先验证或编码输入数据的情况下所生成的输出中时成功。
用户浏览器并不知道此脚本是恶意的,进而执行此脚本。 由于浏览器认为此脚本来自受信任来源,恶意脚本可以访问 cookie、会话标记或其他敏感信息。 这些脚本甚至可以重写 HTML 页面的内容。
要修复 XSS 漏洞,应验证发送回浏览器的所有用户提供的输入是否安全(通过输入验证)。 此外,应正确转义用户的输入,之后才能将其包含在输出页面中。 正确的输出编码能够确保始终将用户输入视为浏览器中的文本,而非可执行的活动内容。
在此版本中, CA Clarity PPM 会为 XSS 执行用户输入验证。 此外,此版本还提供有新的管理选项,允许您打开或关闭 XSS 限制(转义)。 有关使用这些管理选项的信息,请参阅《安装指南》。
|
版权所有 © 2014 CA Technologies。
保留所有权利。
|
|