xss攻击的防御

要防御xss的攻击,首先我们需要知道什么是xss攻击?它是怎么进行攻击的?然后再去防御它!

xss攻击是什么?

简单来说就还是攻击者通过利用网页开发留下的漏洞,通过巧妙的方式注入恶意指令代码到网页中,使得用户加载并执行者段恶意的代码,攻击成功之后,攻击者会获取到用户的私人网页内容、会话和cookie等!然后攻击者会利用获取到的信息,来进行一些恶意的操作来破坏网站

xss是怎么进行攻击的?

1. 存储型:恶意代码被当作正常数据存储到数据库中,当用户正常操作时,恶意代码就会从数据库中取出来.
2. 反射型:恶意代码被表单提交到后台,然后会被返回到前端,用户点击时,就会被触发,一般恶意代码在url中.
3. DOM型XSS:直接由js在前端处理的,不经过后台,都是直接在前端进行防御的.

xss怎么进行防御?

1. 存储型: 后台编写过滤器,对一些html标签和特殊的字符进行转义
2. 反射型:特殊字符的转义
3. DOM型:检查是否包含一些特殊的函数可以造成危害的地方

总结

跟后台有关系的攻击,对特殊字符进行转义,否则前端自行判断时候包含一些危险的函数和字符,然后进行特殊的处理!