前段时间在修改时天气预报15天查询(http://tqybw.net),想增加图片延迟载入的脚本功能,刚好看到某XX网站上有,为了测试方便,就直接引用某XX站的JS调用,没有下载下来.然后急着就上线了!某天用工具检测 http://tqybw.net/xian15tian/,提示有跨站脚本攻击漏洞危险,赶紧修改过来!对于跨站脚本攻击漏洞个人作以下说明:
跨站脚本攻击漏洞描术:
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。
2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。
跨站脚本攻击漏洞危害
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。
跨站脚本攻击漏洞解决方案:
1.建议过滤用户输入的数据,切记用户的所有输入都要认为是不安全的。
2.网站中不要跨站调用不被信任的网站文件:如JS,css,iframe等