什么是跨域脚本攻击?

跨域脚本攻击又叫XSS攻击,属于客户端攻击,攻击者在我们的网页中嵌入恶意脚本,当用户使用浏览器浏览被嵌入恶意脚本的网页时,脚本就会在我们的浏览器中执行.XSS攻击的核心是脚本
XSS可以分为以下三类:
1.反射型(非持久型)
当用户访问了一个网站A,攻击者在这个网站中嵌入了恶意的脚本用于盗取客户的cookie信息.
攻击者诱导用户触发XSS攻击(诱导用户点击非法链接)
这样攻击者就获取了用户的身份信息对其进行非法的操作
2.持久型
持久型的XSS的攻击是很危险的,一旦攻击成功造成大规模XSS攻击,如XSS蠕虫
存储型的XSS攻击一般原理就是客户端将带有XSS攻击的数据发送给服务器,服务器在接受并存储在数据库,当用户再次访问的这个网页的时候就会受到XSS攻击
3.DOM型
这种类型的XSS不需要与服务器进行交互,只在客户端处理,能够改变我们页面的布局
如何防范XSS攻击?
1)前端,服务端,同时需要字符串输入的长度限制。
2)前端,服务端,同时需要对HTML转义处理。将其中的”<”,”>”等特殊字符进行转义编码。
防 XSS 的核心是必须对输入的数据做过滤处理。

你可能感兴趣的:(web安全,前端,安全)