【TechTarget中国原创】问:我对防御跨站脚本攻击(XSS) 很有兴趣。如果我拒绝使用<、 >、脚本——以及容易导致恶意攻击的同等实体参数——这样的字符和词语,那么就会增加应用开发的成本。你会推荐这种“作战”方式吗?
答:不,相反,我推荐开发人员在他们的应用代码中只允许适应应用功能所必需的规定字符。这是应用开发的最佳做法。
很多企业都把安全代码作为在开发过程的最后才会发生的事情。但是,如果在开发周期的最后阶段测试应用的人说应用需要记录来保证安全性,那么应用就需要重写并重新测试,与之相结合的其他应用也是如此。这种持续的矛盾比在安全开发周期中进行的不断地安全过程成本高得多。
如果有一种领域称为“稳定”,例如,就没有理由允许<、>、;、*、--或者:作为可能参数。如果应用开发人员写的代码只允许接受已知的良好参数,就会通过减少质量担保和认证以及信赖测试的成本降低应用开发的整体成本。