跨網站指令碼 (XSS) 攻擊會將惡意的指令檔插入信任的網站。 XSS 攻擊者使用 Web 應用程式傳送惡意的程式碼給其他使用者,通常是以瀏覽器端指令碼的形式。 當 Web 應用程式將使用者輸入資料加入其所產生的輸出值中,卻未事先驗證或編碼這些輸入資料時,這些攻擊便會得逞。
使用者瀏覽器不知道指令碼是惡意的且加以執行。 由於瀏覽器認為指令碼來自於信任的來源,因此惡意的指令碼可以存取 Cookie,工作階段權杖,或其他敏感的資訊。 這些指令碼甚至可以重寫 HTML 網頁的內容。
若要解決 XSS 漏洞的問題,所有使用者所提供將送回瀏覽器的輸入值都要經過驗證以確保安全 (透過輸入值驗證)。 此外,使用者輸入值應經過適當的逸出處理再加入輸出頁面中。 適當的輸出值編碼確保使用者的輸入值在瀏覽器中將一律視為文字,而非可執行的主動式內容。
在這個版本中,CA Clarity PPM 針對 XSS 進行使用者輸入值驗證。 此外,這個版本提供新的管理選項,可供您開啟或關閉 XSS 限制 (逸出)。 如需有關使用這些管理選項的資訊,請參見《安裝指南》。
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|