簡介
- XSS(Cross Site Scripting, 跨站腳本攻擊)又稱是 CSS, 在 Web攻擊中比較常見的方式, 通過此攻擊可以控制用戶終端做一系列的惡意操作, 如 可以盜取, 篡改, 添加用戶的數據或誘導到釣魚網站等
攻擊原理
- 比較常見的方式是利用未做好過濾的參數傳入一些腳本語言代碼塊通常是 JavaScript, PHP, Java, ASP, Flash, ActiveX等等, 直接傳入到頁面或直接存入數據庫通過用戶瀏覽器閱讀此數據時可以修改當前頁面的一些信息或竊取會話和 Cookie等, 這樣完成一次 XSS攻擊
例子
- http://example.com/list?memo=<script>alert(“Javascript代碼塊”)</script>
- http://example.com/list?memo=<strong οnclick=‘alert(“驚喜不斷”)’>誘惑點擊語句</strong>
- http://example.com/list?memo=<img src=’./logo.jpg’ οnclick=‘location.href=“https://blog.csdn.net/qcl108”;’/>
- 以上例子只是大概描述了方式, 在實際攻擊時代碼不會如此簡單
防禦方法
- 防止 XSS安全漏洞主要依靠程序員較高的編程能力和安全意識
- 去掉任何對遠程內容的引用 如 樣式或 JavaScript等
- Cookie內不要存重要信息爲了避免 Cookie被盜, 最好 Cookie設置 HttpOnly屬性防止 JavaScript腳本讀取 Cookie信息
- 不要信任用戶的輸入, 必須對每一個參數值做好過濾或轉譯: (
&
轉譯後&
), (<
轉譯後<
), (>
轉譯後>
), ("
轉譯後"
), (\
轉譯後'
), (/
轉譯後/
), (;
)等
如果您覺得有幫助,歡迎點贊哦 ~ 謝謝!!