2019-11-12 seo達(dá)人
XSS攻擊是什么
簡(jiǎn)介
攻擊原理
例子
防御方法
簡(jiǎn)介
XSS(Cross Site Scripting, 跨站腳本攻擊)又稱是 CSS, 在 Web攻擊中比較常見(jiàn)的方式, 通過(guò)此攻擊可以控制用戶終端做一系列的惡意操作, 如 可以盜取, 篡改, 添加用戶的數(shù)據(jù)或誘導(dǎo)到釣魚(yú)網(wǎng)站等
攻擊原理
比較常見(jiàn)的方式是利用未做好過(guò)濾的參數(shù)傳入一些腳本語(yǔ)言代碼塊通常是 JavaScript, PHP, Java, ASP, Flash, ActiveX等等, 直接傳入到頁(yè)面或直接存入數(shù)據(jù)庫(kù)通過(guò)用戶瀏覽器閱讀此數(shù)據(jù)時(shí)可以修改當(dāng)前頁(yè)面的一些信息或竊取會(huì)話和 Cookie等, 這樣完成一次 XSS攻擊
例子
http://example.com/list?memo=<script>alert(“Javascript代碼塊”)</script>
http://example.com/list?memo=<strong οnclick=‘a(chǎn)lert(“驚喜不斷”)’>誘惑點(diǎn)擊語(yǔ)句</strong>
http://example.com/list?memo=<img src=’./logo.jpg’ οnclick=‘location.href=“https://blog.csdn.net/qcl108”;’/>
以上例子只是大概描述了方式, 在實(shí)際攻擊時(shí)代碼不會(huì)如此簡(jiǎn)單
防御方法
防止 XSS安全漏洞主要依靠程序員較高的編程能力和安全意識(shí)
去掉任何對(duì)遠(yuǎn)程內(nèi)容的引用 如 樣式或 JavaScript等
Cookie內(nèi)不要存重要信息為了避免 Cookie被盜, 最好 Cookie設(shè)置 HttpOnly屬性防止 JavaScript腳本讀取 Cookie信息
不要信任用戶的輸入, 必須對(duì)每一個(gè)參數(shù)值做好過(guò)濾或轉(zhuǎn)譯: (& 轉(zhuǎn)譯后 &), (< 轉(zhuǎn)譯后 <), (> 轉(zhuǎn)譯后 >), (" 轉(zhuǎn)譯后 "), (\ 轉(zhuǎn)譯后 '), (/ 轉(zhuǎn)譯后 /), (;)等
藍(lán)藍(lán)設(shè)計(jì)的小編 http://www.dzxscac.cn