XSS攻击
发布日期:2021-11-21 16:35:28 浏览次数:9 分类:技术文章

本文共 699 字,大约阅读时间需要 2 分钟。

XSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。它可以窃取Cookie。监听用户行为,比如输入账号密码后直接发送到黑客服务器。修改 DOM 伪造登录表单。在页面中生成浮窗广告。

通常情况,XSS 攻击的实现有三种方式——存储型、反射型和文档型。
存储型,就是将恶意脚本存储到了服务端的数据库,然后在客户端执行这些脚本,从而达到攻击的效果。常见的场景是留言评论区提交一段脚本代码,如果前后端没有做好转义的工作,那评论内容存到了数据库,在页面渲染过程中直接执行, 相当于执行一段未知逻辑的 JS 代码。
反射型XSS指的是恶意脚本作为网络请求的一部分。过服务器,然后再反射到HTML文档中,执行解析。和存储型不一样的是,服务器并不会存储这些恶意脚本。
文档型的 XSS 攻击并不会经过服务端,而是作为中间人的角色,在数据传输过程劫持到网络数据包,然后修改里面的 html 文档。这样的劫持方式包括WIFI路由器劫持或者本地恶意软件等。

防范的措施:
(1)不要相信用户的输入,无论是在前端和服务端,都要对用户的输入进行转码或者过滤,让其不可执行。
(2)利用 CSP,即浏览器中的内容安全策略,它的核心思想就是服务器决定浏览器加载哪些资源,可以限制其他域下的资源加载、禁止向其它域提交数据、提供上报机制,能帮助我们及时发现 XSS 攻击。
(3)利用 HttpOnly,很多 XSS 攻击脚本都是用来窃取Cookie, 而设置 Cookie 的 HttpOnly 属性后,JavaScript 便无法读取 Cookie 的值。这样也能很好的防范 XSS 攻击。
 

转载地址:https://blog.csdn.net/yyychocolate/article/details/108033370 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:call/apply/bind区别
下一篇:CSRF攻击

发表评论

最新留言

第一次来,支持一个
[***.219.124.196]2024年03月07日 20时44分23秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

推荐文章

syslog打印不带等级_(转)syslog日志等级 2021-06-24
librosa能量_librosa语音信号处理 2021-06-24
android日期选择区间控件_Android时间区间的选择 2021-06-24
lin通讯从节点同步间隔场_LIN模块介绍 2021-06-24
mysql注入提取邮件_Mysql提取数据每日自动邮件通知 2021-06-24
mysql 列权限_mysql 权限相关 2021-06-24
手机端 vue+vant datetime支持时分秒_vueCli4+vant+router+vuex+移动端适配 2021-06-24
kafka消费者直接存在mysql中_【Canal】利用canal实现mysql实时增量备份并对接kafka 2021-06-24
python中readlines()函数_python中读取文件函数read()、readline()、readlines()的区别 2021-06-24
python入门之基础语法第四关输入输出答案_Python基本语法入门,基础 2021-06-24
mysql在存储过程仍_mysql存储过程 2021-06-24
失败的人生图片_早安励志经典语录精辟的一句话人生感悟 2021-06-24
如何设画面大小_如何设计旅游类项目?分享3种设计思路 2021-06-24
开启web_2021秋招四大网申时间、网申地址汇总(持续更新),德勤、安永、普华永道已开启!... 2021-06-24
从右边开始放_停路边,被人恶意放钉子,爆胎,报警无果,要我找监控 2019-04-21
读写测试_UFS 3.0读写测试数据曝光:秒杀UFS 2.1和eMMC 2019-04-21
注册小程序要多少钱_开发一个微信小程序商城要多少钱? 2019-04-21
mysql 实现id自增序列_MySQL分表自增ID解决方案 2019-04-21
反距离加权插值法例题_空间插值算法-反距离加权法 2019-04-21
oracle如何写循环日期自增_Oracle动态创建时间分区,以及Oracle12c中快速创建自增列... 2019-04-21