|
|
(1)XSS(cross site script): 跨站脚本攻击。
(2)原理: 恶意攻击者往web页面插件恶意的HTML代码, 当用户浏览网页时, 嵌入恶意的html代码就会被执行。
(3)实现原理: 通过站内交互途径, 比如发布评论, 提交含有javascript的内容文本, 如果前端和服务器没有过滤或者没有转义这些脚本, 作为内容发布到网页上, 其他用户访问这个页面时会执行这些脚本, 从而被攻击。
(4)目的: 通过插入恶意脚本, 实现对用户浏览器的控制, 获取用户信息。
(5)防止XSS攻击:输入过滤(长度验证, 格式验证),输出转义(html转义编码),将重要的cookie标记httponly, 避免XSS攻击利用javascript的document.cookie获取cookie,其中具有httponly标记的cookie无法获取,增强cookie的安全性。
|
|
发表于 2022-9-19 21:13:00