XSS攻击介绍
发布时间:2023-09-04 14:01:47 所属栏目:教程 来源:
导读:XSS 攻击又称 CSS,全称Cross Site Script (跨站脚本攻击),其原理是攻击者向有 XSS 漏洞的网站中输入恶意的 HTML 代码,当用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。
XSS 攻击可以分成两
XSS 攻击可以分成两
|
XSS 攻击又称 CSS,全称Cross Site Script (跨站脚本攻击),其原理是攻击者向有 XSS 漏洞的网站中输入恶意的 HTML 代码,当用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。 XSS 攻击可以分成两种类型: 非持久型 XSS 攻击:顾名思义,非持久型 XSS 攻击是一次性的,仅对当次的页面访问产生影响。非持久型 XSS 攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的; 持久型 XSS 攻击:持久型 XSS,会把攻击者的恶意代码数据存储在服务器端,攻击行为将伴随着恶意代码的存在而一直存在。 XSS 的攻击防范主要是对提交的各种字符串数据进行校验,避免出现可执行的前端代码。主要的防范措施有: 对输入内容的特定字符进行编码,例如表示 html 标记的 < > 等符号; 对重要的 cookie 设置 httpOnly,防止客户端通过 document.cookie 读取 cookie,此 HTTP 头在服务端设置; 将不可信的值输出 URL 参数之前,进行 URLEncode 操作,而对于从 URL 参数中获取值一定要进行格式校验; 不要使用 eval 来解析并运行不确定的数据或代码,对于 JSON 解析可使用 JSON.parse() 方法; 后端接口也要对关键的字符进行过滤,防止将恶意的脚本代码保存到数据库中。 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
