文章介绍:
(1) 理解XSS的攻击原理和手段
(2) 掌握XSS攻击的防范措施
- XSS的攻击方式
反射型:盗用cookie等一些敏感信息,破坏正常的页面结构,插入恶意内容
攻击方式:在代码中插入可执行的XSS代码
XSS防御措施:
· 编码:对用户输入的数据进行HTML Entity编码
· 过滤:移除用户上传的DOM属性,如onerror等,移除用户上传的Style节点、Script节点和iframe节点等
· 矫正:避免对HTML entity解码;使用DOM parse转换,矫正不配对的DOM标签
存储型
