T NG QUA NV WEBSIE, CÁ CD C HV CA WEBSIE VÀ LI BO M HÔNG Ậ
2.4.2. Phòng ch ng ố
- Nh đã đ c p trên, m t t n công XSS ch th c hi n đư ề ậ ở ộ ấ ỉ ự ệ ược khi g i m t trangử ộ web cho trình duy t web c a n n nhân có kèm theo mã script đ c c a k t n công. Vìệ ủ ạ ộ ủ ẻ ấ v y nh ng ngậ ữ ười phát tri n web có th b o v website c a mình kh i b l i d ngể ể ả ệ ủ ỏ ị ợ ụ thông qua nh ng t n công XSS này, đ m b o nh ng trang phát sinh đ ng không ch aữ ấ ả ả ữ ộ ứ các tag c a script b ng cách l c và xác nh n h p lý các d li u đ u vào t phíaủ ằ ọ ậ ợ ữ ệ ầ ừ người dùng ho c mã hóa(endcoding) và l c các giá tr xu t cho ngặ ọ ị ấ ười dùng.
2.4.2.1. L cọ
- Luôn luôn l c các d li u nh p t phía ngọ ữ ệ ậ ừ ười dùng b ng cách l c các kí t meta (kíằ ọ ự t đ c bi t) đự ặ ệ ược đ nh nghĩa trong đ c t c a HTML. M i trị ặ ả ủ ỗ ường nh p li u baoậ ệ g m c tham s liên k t s đồ ả ố ế ẽ ược ki m tra đ phát hi n các th script.ể ể ệ ẻ
2.4.2.2. Mã hóa
- L i XSS có th tránh đỗ ể ược khi máy ch Web đ m b o nh ng trang phát sinhủ ả ả ữ được mã hóa (encoding) thích h p đ ngăn ch y ch y các script không mong mu n.ợ ể ạ ạ ố - Mã hóa phía máy ch là m t ti n trình mà t t c n i dung phát sinh đ ng s đi quaủ ộ ế ấ ả ộ ộ ẽ m t hàm mã hóa n i mà các th script s độ ơ ẻ ẽ ược thay th b i mã c a nó.ể ở ủ
- Nói chung, vi c mã hóa(encoding) đệ ược khuy n khích s d ng vì nó không yêuế ử ụ c u b n ph i đ a ra quy t đ nh nh ng kí t nào là h p l ho c không h p l .Tuyầ ạ ả ư ế ị ữ ự ợ ệ ặ ợ ệ nhiên vi c mã hóa t t c d li u không đáng tin c y có th t n tài nguyên và nhệ ấ ả ữ ệ ậ ể ố ả hưởng đ n kh năng th c thi c a m t s máy chế ả ự ủ ộ ố ủ
CHƯƠNG 3
DEMO, ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRI N Đ TÀIỂ Ề