預防XSS思路一則

XSS若是截取了後臺會話信息，通常這個IP是沒有登陸信息的，能夠經過每次使用權限時比照最近的登陸IP來限制訪問。

因此：

1.對每一個登陸行爲記錄IP（賬號要分開，不能共用）

2.每次登陸有時長，超過期長就失效

3.對每次功能使用進行登陸IP的比照，發生變化要求從新登陸

4.對全部用戶上傳數據的功能替換SQL，JAVASCRIPT、HTML關鍵詞。

5.對全部cookie/session配置domain，必定程度上避免跨站

6.禁止web server添加AJAX跨站頭

    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cach
e-Control,Content-Type';

7.其餘經常使用的配置還有

使用SSL傳輸、密碼加密傳輸（瀏覽器控件）、雙因子認證（如用驗證碼、短信、U盾等），非對稱鑑權（公、私鑰體系）、表單動態簽名、作好訪問日誌和備份還原策略

 

最後總結：責任不外乎人心。