前段時間在修改時天氣預報15天查詢(http://tqybw.net),想增加圖片延遲載入的腳本功能,剛好看到某XX網站上有,為了測試方便,就直接引用某XX站的JS調用,沒有下載下來.然后急着就上線了!某天用工具檢測 http://tqybw.net/xian15tian/,提示有跨站腳本攻擊漏洞危險,趕緊修改過來!對於跨站腳本攻擊漏洞個人作以下說明:
跨站腳本攻擊漏洞描術:
1.跨站腳本攻擊就是指惡意攻擊者向網頁中插入一段惡意代碼,當用戶瀏覽該網頁時,嵌入到網頁中的惡意代碼就會被執行。
2.跨站腳本攻擊漏洞,英文名稱Cross Site Scripting,簡稱CSS又叫XSS。它指的是惡意攻擊者向Web頁面中插入一段惡意代碼,當用戶瀏覽該頁面時,嵌入到Web頁面中的惡意代碼就會被執行,從而達到惡意攻擊者的特殊目的。
跨站腳本攻擊漏洞危害
1.惡意用戶可以使用該漏洞來盜取用戶賬戶信息、模擬其他用戶身份登錄,更甚至可以修改網頁呈現給其他用戶的內容。
2.惡意用戶可以使用JavaScript、VBScript、ActiveX、HTML語言甚至Flash應用的漏洞來進行攻擊,從而來達到獲取其他的用戶信息目的。
跨站腳本攻擊漏洞解決方案:
1.建議過濾用戶輸入的數據,切記用戶的所有輸入都要認為是不安全的。
2.網站中不要跨站調用不被信任的網站文件:如JS,css,iframe等