以前寫程序沒有怎麼關注這些網絡安全問題,隨着自己寫的程序越來越多,開始關注了網絡安全了。
一、什麼是XSS
XSS(Cross-Site Scripting) 跨站腳本是一種經常出現在web應用程序的計算機安全漏洞,通常是程序過濾不足造成的
二、XSS攻擊方式以及表現形式
XSS攻擊方式分爲兩種。
一種是反射性攻擊,表現爲主動注入腳本,直接執行代碼
還有一種是持久性的XSS,表現爲把腳本寫入數據庫中,其餘用戶打開頁面的時候就會被收到信息盜用。
三、它原理是什麼
原理其實很簡單,因爲瀏覽器支持dom,js,html等,可以注入代碼在你的程序中,並執行了代碼,黑客可以利用提交數據的時候自動獲取你的cookie發送鏈接到其餘的服務地址獲取你的信息,或者讓正常的網頁多執行一段html頁面代碼,不停刷新服務器等....
四、如何避免,解決方法是什麼
注入腳本基本上是我們允許用戶輸入字符串的時候造成的,但是我們很多情況下又不能不讓用戶輸入字符串。
方案如下:
1.輸入驗證,前後端都需要做處理
2.儘量避免get請求
3.服務器做好XSS的過濾器,支持黑白名單支持
4.能用session儘量不用cookie
以上方法基本能解決大部分問題了.