XSS攻击全称为跨站脚本攻击【Cross site Scripting】
----CSS(但与Cascading Style Sheets,CSS重名)
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
危害则不言而喻:
1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击
攻击类型【手法分类】
- 本地打开他人的恶意url 【本地漏洞】
- 打开他人冒充站点发送的恶意url 【反射式漏洞】
- 站点上直接浏览他人的恶意url 【存储式漏洞】
防御措施
- 基于特征防御 【匹配javascript关键字(并不推荐)】
1.通过在javascript中插入空白字符躲避
2.通过完全编码的方式躲避基于代码修改防御
image.png
通过对代码的严格要求和进行session标记,实现避免XSS攻击,但是会降低一部分有趣的交互,并且由于编写代码的人群众多,所以并不容易实现完全避免xss攻击。
至此笔者去阅读了一些简单的攻击案例和并在本地测试,想要尽可能避免xss攻击,必须前后端一起努力,前端对数据进行可靠检验,后台对数据做处理过滤,然后前端再对后台传来的数据进行检验过滤。
可以通过以下脚本简单测试是否存在xss漏洞
"/><script>alert(document.cookie)</script><!--
<script>alert(document.cookie)</script><!--
"onclick="alert(document.cookie)
网友评论