免受HTML共享所造成的攻击

摘要

许多Web应用程序都拥有一个文件共享特性，准许Web用户将文件上传至文件库，或从文件库中下载。被共享的文件包括HTML文件和脚本的其他文件，浏览器可能要执行这些文件。这就向大量的“跨用户攻击”打开了大门，这些攻击可能包括以前用户的攻击，甚至包括虚拟应用程序某个实例的一个用户针对同样应用程序的不同虚拟实例的攻击。这种攻击实质上是XSS攻击，但通常针对XSS的防御却无法发挥作用，因为很难清除共享文件中的有害“分子”。