一、XSS課程大概介紹
二、XSS的攻擊方式
反射型:發出請求時,XSS代碼出現在url中,作爲輸入提交到服務器端,服務端解析後響應,XSS代碼隨響應內容一起傳回給瀏覽器,最後瀏覽器解析執行XSS代碼。這個過程像一次反射,故叫反射型XSS。
存儲型:存儲型XSS和反射型XSS的差別在於,提交代碼會存儲在服務器端(數據庫、內存、文件系統等),下次請求目標頁面時不同再提交XSS代碼。
三、XSS的防範措施概述
編碼:對用戶輸入的數據進行HTML Entity編碼
過濾:移除用戶上傳的DOM屬性,上傳的style節點,script節點,iframe節點等
校正:避免直接對HTMl Entity解碼,使用DOM Parse轉換,校正不配對的DOM標籤
四、XSS實戰
4-1.對用戶輸入的內容進行HTML Entity編碼
4-2.js實現ajax前後臺數據交互,DOM Parse解析校正
4-3.對標籤進行過濾