跨站脚本攻击XSS

XSS跨站脚本攻击本质上是一种html注入,用户的数据被当做代码的一部分执行,从而混淆了原有语义,产生了新的语义。
主要有三种类型的xss攻击

  1. 反射型
    通过将用户的数据反射给浏览器,往往通过制作恶意链接,诱使用户触发来实现。
  2. 存储型
    通过将恶意脚本存储到服务器端,让脚本在用户的浏览器执行,从而产生破坏
  3. Dom型
    通过修改页面的Dom节点形成的xss

Xss的破坏力

  1. 劫持Cookie
  2. 读取篡改数据

Xss构造技巧

  1. 利用字符编码
  2. 利用截断

Xss防御技巧

  1. 设置cookie的httponly放置Cookie劫持
  2. 在服务器端做输入检查
    2.1 对普通输入通过xss Filter进行检查
    2.2 对富文本通过htmlecnode进行转义存储
    成熟框架
    esapi
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容