XSS漏洞原理/方式/防御

XSS又叫跨站腳本攻擊 , 攻擊的對象是客戶端

原理

攻擊者在Web頁面插入惡意JS代碼,用戶瀏覽網頁的時候,JS代碼會被執行,從而攻擊正常用戶

危害

比如通過cookie獲取管理員權限 ;?網頁掛馬記錄鍵盤輸入,獲取隱私信息

觸發點

XSS漏洞常發生在評論,留言,以及輸入框等功能

方式

XSS攻擊可分為反射型?, 存儲型 和 DOM型

反射型需要誘導用戶點擊惡意鏈接 , 只能生效一次

存儲型的JS攻擊腳本會被保存到數據庫中 , 每次訪問都會執行攻擊

DOM型本質上也是反射型的一種 , 通過修改dom樹結構來執行攻擊 , 也是只能執行一次

整個HTML文檔是一個文檔節點(document),類似樹干

每個HTML標簽是元素節點(element),類似樹枝

標簽的每個屬性使屬性節點(attribute),類似樹葉

防御

XSS的防御分為兩個方面 過濾 和 轉譯

過濾用戶輸入的參數 , 包括 雙寫,大小寫,長度,編碼

或者使用函數轉譯成HTML實體以后 , 再拼接到前端頁面

HTML

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。