XSS
XSS定义: 即(Cross Site Scripting)中文名称为“跨站脚本攻击”。
XSS原理
XSS攻击方式
XSS攻击防范措施
了解HTTP,Cookie,Ajax
XSS的攻击方式
- 反射型:发出请求时,XSS代码出现在URL中(攻击脚本写在URL),作为输入提交到服务器端,服务器端解析响应后,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码,这个过程像一次反射,故叫反射型XSS。
利用iframe插入广告
插入脚本攻击
- 存储型: 存储型XSS和反射型XSS区别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统),下次请求目标页面时不用再提交XSS代码
XSS攻击防范措施
编码:对用户输入的数据进行HTML Entity编码(‘’ —> ")
过滤: 移除用户上传的DOM属性,如onerror(事件相关的属性)
移除用户上传的style节点,script节点,iframe节点等
校正: 避免直接对HTML entity解码
使用DOM Prase转换,矫正不配对的DOM标签
