跨站點腳本攻擊
介紹
XSS是跨站腳本攻擊(Cross Site Scripting)的縮寫。XSS是因為有些惡意攻擊者往Web頁面中插入惡意Script代碼,當用戶瀏覽該頁面時,嵌入的Script代碼將會被執行,從而達到惡意攻擊用戶的特殊目的。
條件
攻擊者需要向web頁面注入惡意代碼;
這些惡意代碼能夠被瀏覽器成功的執行。
類型
XSS反射型攻擊,惡意代碼並沒有保存在目標網站,通過引誘用戶點擊一個鏈接到目標網站的惡意鏈接來實施攻擊的,攻擊是一次性的。
XSS存儲型攻擊,惡意代碼被保存到目標網站的服務器中,這種攻擊具有較強的穩定性和持久性。
解決方案:
1, 編碼: 一般為HTMl實體編碼
2, 過濾 過濾用戶輸入的 檢查用戶輸入的內容中是否有非法內容。如<>(尖括號)、”(引號)、 ‘(單引號)、%(百分比符號)、;(分號)、()(括號)、&(& 符號)、+(加號)等。、嚴格控制輸出