跨站脚本攻击(XSS攻击)

1、什么是XSS攻击

  • XSS(Cross SiteScript)攻击是跨站脚本攻击的缩写,是一种网站应用程序的安全漏洞攻击,是代码注入的一种。
  • 通常通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
  • 这些恶意网页程序通常是javascript,但实际上可以包括java,vbscript,activex,flash甚至是普通的HTML。
  • 攻击成功后,攻击者可能得到更高的权限(如执行一些操作),私密网页内容,回话和cookie等各种内容。

2、原理

在web的世界里有各种各样的语言,于是乎对于语句的解析大家各不相同,有一些语句在一种语言里是合法的,但是在另外一种语言里是非法的。这种二义性使得黑客可以用代码注入的方式进行攻击——将恶意代码注入合法代码里隐藏起来,再诱发恶意代码,从而进行各种各样的非法活动。历史悠久的SQL注入和XSS注入都是这种攻击方式的典范。

XSS的基本实现思路很简单——比如持久型XSS通过一些正常的站内交互途径,例如发布评论,提交含有JavaScript的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本,从而被攻击。

3、防范

3.1使用XSS Filter
  • 输入过滤,对用户提交的数据进行有效性验证,仅接受指定长度范围内并符合我们期望格式的的内容提交,阻止或者忽略除此外的其他任何数据。

  • 输出转义,当需要将一个字符串输出到Web网页时,同时又不确定这个字符串中是否包括XSS特殊字符,为了确保输出内容的完整性和正确性,输出HTML属性时可以使用HTML转义编码(HTMLEncode)进行处理,输出到

你可能感兴趣的:(跨站脚本攻击(XSS攻击))