华容网站建设,电商网站建设比较好的,南京个人做网站,wordpress layer1 什么是XSS跨站脚本攻击问题?
XSS是跨站脚本攻击(Cross Site Scripting)#xff0c;为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆#xff0c;故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时#xff0c;嵌入其中Web…1 什么是XSS跨站脚本攻击问题?
XSS是跨站脚本攻击(Cross Site Scripting)为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时嵌入其中Web里面的Script代码会被执行从而达到恶意攻击用户的目的。
2 举一简单例子
比如我们提供给用户留言的页面然后我们将用户输入的内容保存到数据库中下次用户访问时回显用户此前填写的内容如果用户在输入框中输入一段script标签包裹着的JavaScript脚本比如
scriptalert(hello XSS)/script如果没有经过任何处理直接将这端内容回显到页面上
htmlheadtitle输入内容/title/head
bodydiv idcontentscriptalert{hello,XSS}/scipt
/div/body
/html那么浏览器解析到这段脚本的时候就会执行它会在页面上出现一个alert弹窗这就是最简单的XSS攻击的方式
3 XSS攻击的危害
3.1 窃取网页cookie
注入的脚本中通过ducument.cookie获取网页cookie,并将cookie发送给第三方网站
3.2 流量劫持恶意跳转
例
scriptwindow.location.hrefhttp://www.baidu.com;/script4 如何预防XSS?
对可能存在注入的标签比如script、img、a等进行过滤转码将构成注入标签的尖括号或者引号进行转义避免发送注入限制输入长度因为注入一般需要输入较长的字符串因此限制输入度也可以一定程度上降低被攻击的可能
