问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

如何防止xss攻击

发布网友 发布时间:2022-05-14 11:57

我来回答

1个回答

热心网友 时间:2023-10-16 06:27

1. XSS攻击原理

XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行,来获得用户的信息,比如cookie,发送到攻击者自己的网站(跨站了)。所以称为跨站脚本攻击。XSS可以分为反射型XSS和持久性XSS,还有DOM Based XSS。(一句话,XSS就是在用户的浏览器中执行攻击者自己定制的脚本。)

1.1 反射型XSS

反射性XSS,也就是非持久性XSS。用户点击攻击链接,服务器解析后响应,在返回的响应内容中出现攻击者的XSS代码,被浏览器执行。一来一去,XSS攻击脚本被web server反射回来给浏览器执行,所以称为反射型XSS。

特点:

1> XSS攻击代码非持久性,也就是没有保存在web server中,而是出现在URL地址中;

2> 非持久性,那么攻击方式就不同了。一般是攻击者通过邮件,聊天软件等等方式发送攻击URL,然后用户点击来达到攻击的;

1.2 持久型XSS

区别就是XSS恶意代码存储在web server中,这样,每一个访问特定网页的用户,都会被攻击。

特点:

1> XSS攻击代码存储于web server上;

2> 攻击者,一般是通过网站的留言、评论、博客、日志等等功能(所有能够向web server输入内容的地方),将攻击代码存储到web server上的;

有时持久性XSS和反射型XSS是同时使用的,比如先通过对一个攻击url进行编码(来绕过xss filter),然后提交该web server(存储在web server中), 然后用户在浏览页面时,如果点击该url,就会触发一个XSS攻击。当然用户点击该url时,也可能会触发一个CSRF(Cross site request forgery)攻击。

1.3 DOM based XSS

基于DOM的XSS,也就是web server不参与,仅仅涉及到浏览器的XSS。比如根据用户的输入来动态构造一个DOM节点,如果没有对用户的输入进行过滤,那么也就导致XSS攻击的产生。过滤可以考虑采用esapi4js。
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
如果只有铬黑T试剂,能否测定钙离子,如何测定? 金银花茶的做法窍门 怎样制作金银花茶 怎么快速取消订单 有关"听"开头的成语 王卡看腾讯视频不显示免流 大王卡腾讯视频不显示免流 谁给推荐几部国产的好看的、卟幼稚的、新鲜的动画片 好看的、不幼稚的国产动画片有哪些? 太早的不要,要连续动画片 上传速度慢是什么原因? 怎么样找回已删除的微信好友,没有了 指微+在寻找XSS点时,攻击者通常会做什么? xss盗取的是cookie还是session 衣服上的这几个洗涤注意事项的标志依次是什么意思? 微信好友删除了,没有手机号,没有,只有微信名,怎么样才能找回微信好友? 天然气2.5元一方和空气能6块钱一度电,用那个好 xss 打到cookie 怎么利用 微信好友被删了,自己又不知道他的了。怎么找回? 除了COOKIE以外 还有什么会暴露隐私? 黑客进行xss跨站攻击所嵌入的代码是不是一般来说都是获取用户cookies 删掉了微信好友,但是又不知道和手机号,怎么加回? 永菡字取名寓意 未成年人在未成年人在监护人不知情的情况下做人脸识别开通了游戏功能怎样退出? 未成年人的监护人不知情的情况下做了人脸识别开通了游戏是否能退出来? 电磁炉电路板损坏直接接加热盘能不能用 电磁炉的加热盘可以直接接交流220伏吗? 电磁炉加热线圈盘的引线接法有的说外引线接0·3UF电容、有的说接IGBT的集电极,为什么说法不一呀? 半球电磁炉的加热盘的导线怎么接 分不分正负极? 电磁炉加热盘线不够长可以用电线接长吗? 下载大鱼app实用吗? 把好友删除 没有 只有转账记录 怎么加回来 如何使用xss平台盗取cookie 燃气和空气能采暖哪个更有优势? 烧地暖用空气能好呢还是用燃气好呢? 有哪些洗发水能增加发量让头发变得浓密? 空气能地暖和天然气地暖到底谁更好 删除微信好友,在不知道对方的情况下怎样才能找回? amino mason洗发水北京哪里买的到 微信好友不小心删又没有他的怎么恢复 怎样找回曾经被我删过的微信好友,没有,没有手机号? 误删微信好友没有电话,,怎样添加回来- 问一问 怀孕36周血糖高南瓜怎么吃 把微信好友删除了!我怎么找回他的微信!没有记住,也没有手机号? 微信删除好友,不记得,任何联系方式都没有,怎么找回来 删除微信好友,在不知道对方的情况下怎样才能找回? 酒店开业培训结束简单的总结300字左右 我明天要交一 份300字的酒店领班感想怎么写啊 OPPO R11手机删了的短信怎么恢复? 会计一般有哪些职称、从低级到高级怎么样排列的? javascript-es6新特性:使用扩展运算符快速将字符串转为字符数组