亚洲另类97色波,四季久久免费一区二区三区四区,丰满蜜桃精品视频网,国产在线观看无码九色8X视频亚洲中文字幕久久精品无码喷水_国产精品无码一区二区

關(guān)于 XSS攻擊

2019-11-12    seo達人

XSS攻擊是什么

簡介

攻擊原理

例子

防御方法

簡介

XSS(Cross Site Scripting, 跨站腳本攻擊)又稱是 CSS, 在 Web攻擊中比較常見的方式, 通過此攻擊可以控制用戶終端做一系列的惡意操作, 如 可以盜取, 篡改, 添加用戶的數(shù)據(jù)或誘導(dǎo)到釣魚網(wǎng)站等

攻擊原理

比較常見的方式是利用未做好過濾的參數(shù)傳入一些腳本語言代碼塊通常是 JavaScript, PHP, Java, ASP, Flash, ActiveX等等, 直接傳入到頁面或直接存入數(shù)據(jù)庫通過用戶瀏覽器閱讀此數(shù)據(jù)時可以修改當(dāng)前頁面的一些信息或竊取會話和 Cookie等, 這樣完成一次 XSS攻擊

例子

http://example.com/list?memo=<script>alert(“Javascript代碼塊”)</script>

http://example.com/list?memo=&lt;strong οnclick=‘a(chǎn)lert(“驚喜不斷”)’>誘惑點擊語句</strong>

http://example.com/list?memo=&lt;img src=’./logo.jpg’ οnclick=‘location.href=“https://blog.csdn.net/qcl108”;’/&gt;

以上例子只是大概描述了方式, 在實際攻擊時代碼不會如此簡單

防御方法

防止 XSS安全漏洞主要依靠程序員較高的編程能力和安全意識

去掉任何對遠程內(nèi)容的引用 如 樣式或 JavaScript等

Cookie內(nèi)不要存重要信息為了避免 Cookie被盜, 最好 Cookie設(shè)置 HttpOnly屬性防止 JavaScript腳本讀取 Cookie信息

不要信任用戶的輸入, 必須對每一個參數(shù)值做好過濾或轉(zhuǎn)譯: (& 轉(zhuǎn)譯后 &amp;), (< 轉(zhuǎn)譯后 &lt;), (> 轉(zhuǎn)譯后 &gt;), (" 轉(zhuǎn)譯后 &quot;), (\ 轉(zhuǎn)譯后 &#x27;), (/ 轉(zhuǎn)譯后 &#x2F;), (;)等


分享本文至:

日歷

鏈接

個人資料

藍藍設(shè)計的小編 http://www.teruid.com

存檔