预防XSS思路一则

XSS若是截取了后台会话信息，通常这个IP是没有登陆信息的，能够经过每次使用权限时比照最近的登陆IP来限制访问。

因此：

1.对每一个登陆行为记录IP（账号要分开，不能共用）

2.每次登陆有时长，超过期长就失效

3.对每次功能使用进行登陆IP的比照，发生变化要求从新登陆

4.对全部用户上传数据的功能替换SQL，JAVASCRIPT、HTML关键词。

5.对全部cookie/session配置domain，必定程度上避免跨站

6.禁止web server添加AJAX跨站头

    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cach
e-Control,Content-Type';

7.其余经常使用的配置还有

使用SSL传输、密码加密传输（浏览器控件）、双因子认证（如用验证码、短信、U盾等），非对称鉴权（公、私钥体系）、表单动态签名、作好访问日志和备份还原策略

 

最后总结：责任不外乎人心。