XSS分类&危害&防御
Posted puhk
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS分类&危害&防御相关的知识,希望对你有一定的参考价值。
XSS(跨站脚本)漏洞是什么?
在网页中插入恶意的js脚本,由于网站没对其过滤,当用户浏览时,就会触发脚本,造成XSS攻击
XSS分类?
1.反射型 用户输入的注入代通过浏览器传入到服务器后,又被目标服务器反射回来,在浏览器中解析并执行。
2.存储型 用户输入的注入代码,通过浏览器传入到服务器后,被永久存放在目标服务器的数据库或文件中。当用户再次访问这个注入代码的页面就出发了xss漏洞
3.Dom型xss 它和反射型以及存储型xss的区别在于,dom型xss的代码并不需要服务器解析响应的直接参与,触发xss靠的是浏览器的dom解析,可以认为完全是客户端的事情。
4.Flash型xss
XSS危害?
1.对于那些半年没有更新的小企业网站来说,发生XSS漏洞几乎没有什么用
2.劫持用户cookie是最常见的跨站攻击形式,通过在网页中写入并执行脚本执行文件,劫持用户浏览器,将用户当前使用的sessionID信息发送至攻击者控制的网站或服务器中。
3.挂马(水坑攻击)
4.有局限性的键盘记录
5.蠕虫
防御?
对于xss的防御需要根据实际情况对用户的输入进行严格的过滤。基于过滤的xss型防御可分为两类。基于黑白名单的过滤,白名单的防御往往更好对于用户在白名单之外的输入可直接忽略。在构造白名单过程中需要保证不影响用户体验的同事,尽可能杜绝一切不必要的输入内容。将重要的cookie标记为http only ,这样的话JS中的document.cookie语句就不能获取cookie。
以上是关于XSS分类&危害&防御的主要内容,如果未能解决你的问题,请参考以下文章