web安全评测解决方案与代码编写规范.doc

WEB安全评测解决方案与代码编写规范北京恒华伟业科技股份有限公司2013年10月目录1Xss注入简介21.1一个简单的例子21.2网上的xss讲解32防御xss的七条原则92.1前言92.2原则1：不要在页面中插入任何不可信数据，除非这些数已经据根据下面几个原则进行了编码102.3原则2：在将不可信数据插入到HTML标签之间时，对这些数据进行HTML Entity编码112.4原则3：在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码122.5原则4：在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码142.6原则5：在将不可信数据插入到Style属性里时，对这些数据进行CSS编码162.7原则6：在将不可信数据插入到HTML URL里时，对这些数据进行URL编码172.8原则7：使用富文本时，使用XSS规则引擎进行编码过滤183项目中防御