夫天地者,万物之逆旅;光阴者,百代之过客。而浮生若梦,为欢几何?
架构师词条:跨站脚本攻击(XSS)

XSS 概述

跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。XSS 攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

XSS 原理

1、存储型XSS  

攻击代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行。


2、反射型XSS  

攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面


3、DOM XSS 

基于文档对象模型(DOM)的一种漏洞。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞 。

XSS 防御

1、对用户提交数据的接口,对敏感字符进行转义。 

2、所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。  

3、避免内联事件。  

4、避免拼接HTML。  

5、主动使用漏洞扫描工具检测。

参考资料

跨站脚本漏洞(XSS)基础讲解  

浅谈XSS攻击原理与解决方法 

前端安全系列(一):如何防止XSS攻击?  

跨站脚本攻击(Cross-site scripting)

作者:暗夜余晖

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

0

支持

0

反对

posted @2020-1-12  拜读(151)

评论列表

评论内容:



喜欢请打赏

支付宝 微信

请放心支付