xss攻击原理

发布时间：2023-12-29 15:59:37 所属栏目：安全来源：DaWei

导读： 这篇文章我们来了解xss攻击的内容，对于xss攻击我们之前也有了解过，这篇主要给大家介绍xss攻击原理及防御方法，对大家做好xss攻击防御有一定的帮助。那么感兴趣的朋友接下来就跟随小编来了

这篇文章我们来了解xss攻击的内容，对于xss攻击我们之前也有了解过，这篇主要给大家介绍xss攻击原理及防御方法，对大家做好xss攻击防御有一定的帮助。那么感兴趣的朋友接下来就跟随小编来了解看看吧！

XSS(Cross Site Scripting, 跨站脚本攻击)又称是 CSS, 在 Web攻击中比较常见的方式, 通过此攻击可以控制用户终端做一系列的恶意操作, 如可以盗取, 篡改, 添加用户的数据或诱导到钓鱼网站等

攻击原理

比较常见的方式是利用未做好过滤的参数传入一些脚本语言代码块通常是 JavaScript, PHP, Java, ASP, Flash, ActiveX等等, 直接传入到页面或直接存入数据库通过用户浏览器阅读此数据时可以修改当前页面的一些信息或窃取会话和 Cookie等, 这样完成一次 XSS攻击

例子

http://example.com/list?memo=<script>alert(“Javascript代码块”)</script>
http://example.com/list?memo=<strong οnclick=‘alert(“惊喜不断”)’>诱惑点击语句</strong>
http://example.com/list?memo=<img src=’./logo.jpg’ οnclick=‘location.href=“https://blog.csdn.net/qcl108”;’/>

以上例子只是大概描述了方式, 在实际攻击时代码不会如此简单

防御方法

防止 XSS安全漏洞主要依靠程序员较高的编程能力和安全意识

去掉任何对远程内容的引用如样式或 JavaScript等

Cookie内不要存重要信息为了避免 Cookie被盗, 最好 Cookie设置 HttpOnly属性防止 JavaScript脚本读取 Cookie信息

不要信任用户的输入, 必须对每一个参数值做好过滤或转译: (& 转译后 &), (< 转译后 <), (> 转译后 >), (" 转译后 "), (\ 转译后 '), (/ 转译后 /), (;)等

现在大家对于xss攻击原理及防御这些应该都有所了解了，希望大家阅读完这篇文章能有所收获。

（编辑：我爱故事小小网_铜陵站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!