XSS-Cross Site Scripting 跨站脚本攻击初识

    如果通过html 或者是js注入不安全的代码,插入到数据库可能导致原来的数据截断,插入了不期望的数据,甚至是可以获得非法权限,网站挂马,网站钓鱼,CSRF攻击。

注入方式:html, js注入;

基本思想:fileter input , escape output,输出html代码时用PHP的htmlspecialchars方法过滤, 输出javascript代码时用json_encode函数转义

预防方法:1,对输入数据进行转义,在输出时再进行还原;
          2,对输入的数据进行过滤,确保输入数据符合我们的期望(数据长度,类型,过滤空格特殊符,判断唯一性等)

更多关于XSS的文章,51testing 上有个叫蚂蚁土大象的总结的挺好的。
refer to : http://www.51testing.com/?uid-316693-action-spacelist-type-blog-itemtypeid-17510

你可能感兴趣的:(安全,xss)