1.原理
xss,跨站脚本攻击(Cross-Site Script),为区别css而取名xss,意为攻击者通过在web界面中插入恶意javascript代码,然后当用户浏览该web页面时候,站点中的恶意script代码就会加载执行,从而达到恶意攻击的目的。
2.分类
xss一般分为两类:
1.存储型xss
存储型xss攻击时提交的代码会存放在服务器端,下次访问的时候不需要再重复提交代码。
2.反射型xss
发出请求时xss代码出现在url中被当成输入发送给服务器端,服务器端进行解析后把xss代码和响应一同发送给客户端由浏览器进行解析,因为有一次反射的过程所以叫反射型xss。
3.防范措施
1.限制在CGI中用户提交数据的长度。
2.对所有用户提交内容进行可靠的输入验证。这些提交内容包括URL、查询关键字、http头、post数据等。
3.对文件的参数传递做严格的过滤、阻塞或忽略其它的任何东西(过滤“<”“>”“script”“iframe”等);
4.保护所有敏感的功能,以防被bots自动化或者被第三方网站所执行。实现session标记(session
tokens)、CAPTCHA系统或者HTTP引用头检查
5.设置HTTP only头部,禁止js代码访问cookie。
5.如果web应用必须支持用户提供的HTML,请确认接收的HTML内容被妥善地格式化,仅包含最小化的、安全的tag(绝对没有JavaScript),去掉任何对远程内容的引用(尤其是样式表和JavaScript)。为了更多的安全,请使用httpOnly的cookie。
6.留心可疑的过长链接,尤其是它们看上去包含了HTML代码。如果对其产生怀疑,可以在浏览器地址栏中手工输入域名,而后通过该页面中的链接浏览你所要的信息
7.使用第三方WEB防火墙增强整个网站系统安全
网友评论