django-xss攻击原理与防范

Posted welan

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了django-xss攻击原理与防范相关的知识,希望对你有一定的参考价值。

跨站脚本攻击(XSS)

XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括html代码和客户端脚本。

1、危害:

  • 盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
  • 控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
  • 盗窃企业重要的具有商业价值的资料
  • 非法转账等

2、原理:

2.1 反射型xss攻击

一般的浏览器与服务器交互都是,客户端向服务器发送一条请求,类似http://ww.bigshop.com/product/list/?q=手机,也就是说客户向目标站点发送了一条查询所有手机的请求,然后服务器向客户端返回相关数据,这是正常的。并且手机这一关键词也会被重新返回给浏览器端的用户,这就使得xss攻击有机可乘。黑客将http://ww.bigshop.com/product/list/?q=这条包含恶意脚本的链接通过某种方式发送给用户,那么用户一旦点击这条链接,就会向目标站点发送查询的请求,这当然是查询不到任何结果,但是这段javascript的脚本就会从后台转了一圈又回到浏览器,这样浏览器就会执行这段代码,也就是是获取用户的cookie值。
可以看到,攻击者巧妙地通过反射型XSS的攻击方式,达到了在受害者的浏览器上执行脚本的目的。由于代码注入的是一个动态产生的页面而不是永久的页面,因此这种攻击方式只在点击链接的时候才产生作用,这也是它被称为非持久型XSS的原因。

以上是关于django-xss攻击原理与防范的主要内容,如果未能解决你的问题,请参考以下文章

缓冲区溢出攻击的6.防范方法

跨站请求伪造攻击的基本原理与防范

SQL注入攻击与防范

HTTP攻击与防范 |XSS-简介

如何防范tcp syn flood 攻击

XSS原理及防范