常见web攻击-客户端脚本安全

本文来自:gglinux,原文地址:http://blog.csdn.net/gglinux/article/details/45538889,转载请注明

XSS攻击

跨站脚本攻击。攻击者向网站恶意添加前端代码(js,html,css都有可能)。当用户浏览时,这段恶意代码得以执行,便可能造成攻击,如盗取用户cookie,破坏页面结构,跳转到其他网站等。
http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html

反射型XSS

1.含义:将用户输入的数据通过后端直接输出
2. 实例:get参数,用户输入伪造get参数后,输出参数便可能导致攻击
3. 特点:get参数被伪造
4. 解决方案:1:对get参数进行过滤。如果要输出内容,将其中的“<”,”>”,” ‘ “,”&”,” “ “等转义输出,避免浏览器在输出时解析js代码,造成污染。2:验证get参数,判断是否满足要求

存储型XSS

  1. 含义:数据保存到后台数据库之后,再将数据直接输出
  2. 实例:网络博客,博客保存到数据库之后,博客内容含有恶意的js代码,js代码输出得以执行,导致攻击
  3. 特点:影响时间久,内容被存放到数据库
  4. 防范方法:1:对输出数据进行过滤,转义”<“,”>”,” ’ “, ” “,”&”等标签。2:设置cookie的值为http only。

    php设置方法

header("Set-Cookie: hidden=value; httpOnly"); 

基于DOM的XSS

  1. 含义:通过将内容,添加到DOM 上,造成恶意代码嵌入
  2. 实例:网络聊天,直接将输入内容输出到DOM中,便会造成攻击
  3. 特点:类似于反射性XSS,表单(输入框)输入内容被伪造
  4. 防范方法: 针对以上几种XSS攻击都有效
1:设置cookie标记为http only
2:只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
3:对数据进行Html Encode 处理
4:过滤或移除特殊的Html标签, 例如: 
                    
                    

你可能感兴趣的:(Web前端)