跨站点脚本攻击
介绍
XSS是跨站脚本攻击(Cross Site Scripting)的缩写。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。
条件
攻击者需要向web页面注入恶意代码;
这些恶意代码能够被浏览器成功的执行。
类型
XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的,攻击是一次性的。
XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性。
解决方案:
1, 编码: 一般为HTMl实体编码
2, 过滤 过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出