XSS攻击原理和防御措施

关于CSRF攻击可以看这篇文章。关于CSRF攻击的原理以及防御措施
跨站脚本攻击:它指得是恶意攻击者往web页面里插入恶意的html代码,当用户浏览该页时,嵌入web页面的html就会被执行,从而达到恶意攻击用户的特殊目的。

XSS攻击的原理

1、黑客对含有漏洞的服务器发起XSS攻击;
2、诱使用户打开受到攻击的服务器URL;
3、用户在浏览器中打开URL,恶意代码执行。

XSS的类型
  • 持久型:也叫“存储型XSS”,只要是将XSS代码发送到服务器,所以在下一次请求页面的时候就不用带上XSS代码了。
  • 非持久型:也叫“反射型XSS”,是指发生请求的时候,XSS代码出现在URL中,作为参数提交到服务器,服务器解析并作出响应,响应结果中包含XSS代码,最终被浏览器解析执行。
XSS防御的措施
  • 对用户的输入数据进行过滤,编码等操作。
  • 对cookie进行保护,设置为httpOnly,防止客户端通过document.cookie读取cookie(服务端设置)。

你可能感兴趣的:(前端小知识,XSS,安全性,攻击)