什么是XSS攻击 该如何防范


什么是XSS?XSS 。全称为Cross Site Scripting 。意思是跨站脚本攻击 。为了与层叠样式表(CSS:Cascading Style Sheets)区分 。故其缩写改为XSS 。
XSS攻击的原理是恶意攻击者在Web页面里插入恶意脚本 。当用户浏览该页面时 。嵌入的脚本代码会被执行 。从而达到攻击目的 。通常攻击者会通过XSS攻击来盗取用户隐私信息 。

什么是XSS攻击 该如何防范

文章插图
文章插图
黑客诱导受害者点击恶意url
XSS漏洞分类攻击者之所以有可乘之机 。就是因为Web系统存在可以被XSS攻击利用的漏洞 。XSS漏洞主要分为持久型XSS漏洞和非持久性XSS漏洞 。
非持久性XSS漏洞是指 用于攻击的XSS脚本不会被后端持久化保存在服务器上或数据库里面 。攻击方式也不止一种 。比如DOM XSS漏洞、反射性漏洞等 。
DOM XSSDOM-based XSS漏洞是基于文档对象模型(DOM: Document Object Model)的一种漏洞 。通常是通过url传入参数来控制触发的 。比如网页上有这么一段javascript代码:
<script>document.write(location.href.substring(location.href.indexOf('default=') + 8));</script>这段代码的本意是:取出url里的default参数的值 。然后显示到页面上 。但这样会带来一个问题:如果default的值是一段包裹在script标签里的js代码 。也会被加载执行 。
基于这个漏洞 。攻击者可以设计一个诱导用户点击的url:

    推荐阅读