xss跨站脚本攻击原理？如何进行？防御手段？_Web前端

3条回答

HUANG

2楼 · 2020-08-03 16:59

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者javascript代码。比如：攻击者在论坛中放一个

看似安全的链接，骗取用户点击后，窃取cookie中的用户私密信息；或者攻击者在论坛中加一个恶意表单，

当用户提交表单的时候，却把信息传送到攻击者的服务器中，而不是用户原本以为的信任站点。

XSS防范方法

首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤；其次任何内容写到页面之前都必须加以encode，避免不小心把html tag 弄出来。这一个层面做好，至少可以堵住超过一半的XSS 攻击。

首先，避免直接在cookie 中泄露用户隐私，例如email、密码等等。

其次，通过使cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值，不可能拿来重放。

如果网站不需要再浏览器端对cookie 进行操作，可以在Set-Cookie 末尾加上HttpOnly 来防止javascript 代码直接获取cookie 。

尽量采用POST 而非GET 提交表单

小猴子

3楼 · 2020-08-05 15:41

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者javascript代码。比如：攻击者在论坛中放一个

看似安全的链接，骗取用户点击后，窃取cookie中的用户私密信息；或者攻击者在论坛中加一个恶意表单，

当用户提交表单的时候，却把信息传送到攻击者的服务器中，而不是用户原本以为的信任站点。

XSS防范方法

首先，避免直接在cookie 中泄露用户隐私，例如email、密码等等。

其次，通过使cookie 和系统ip 绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值，不可能拿来重放。

如果网站不需要再浏览器端对cookie 进行操作，可以在Set-Cookie 末尾加上HttpOnly 来防止javascript 代码直接获取cookie 。

尽量采用POST 而非GET 提交表单

上来打杂的

4楼 · 2021-11-22 11:04

概念:

Cross-Site Scripting简称XSS，是由于WEB应用程序对用户的输入过滤不足而产生的，攻击者利用网站漏洞把恶意脚本注入到网站之中会导致cookie窃取、会话劫持(非法转账和强制发表日志邮件等)、钓鱼欺骗(盗号)、强制弹广告刷流量、网站挂马、篡改页面、获取用户其他重要信息、控制计算器、传播蠕虫等等危害

分类

反射型:也称为非持久型、参数型，通常见的是诱使用户去访问一个包含恶意代码的网址

持久型:称为存储性跨站，攻击者把代码存储在服务器段，一般存在与网站的留言、评论、日志交互处

DOM型:严格意义上也属于持久型跨站

深入XSS原理：

1.深入浅出CSRF

2.hack json

3.http response splitting:HRS也称为CRLF注射攻击,浏览器用户能随意的添加额外的http头部信息到http数据包中,通过自定义http头创造任意的内容并返回用户浏览器中

4.mhtml协议的安全

5.利用Data URIs进行xss

6.UTF-7 BOM XSS

UTF-7 7位元unicode转换格式,用+开始-结束

BOM 字节顺序标记,是插入到utf8或者utf16编码的unicode文件开头的特殊标记

7.浏览器插件安全

flash后门

pdf的xss

QuickTime xss

8.特殊的xss应用场景剖析

9.浏览器差异

10.字符集编码隐患

防御XSS攻击：

1.使用XSS Filter

2.定制过滤策略

3.web安全编码:因为某些业务场景不可能完全过滤用户的输入内容,所以就要在服务端对其进行web安全编码,让有害的输入变成无害,例如用户输入的url/http头/post数据/查询关键字等

4.防御DOM-Based XSS

5.其他防御

6.防御CSRF攻击

相关问题推荐

现在的web开发的要求高吗？2020-11-01 21:57

回答 120

相对前几年来说，要高上不少了，毕竟入行的人也是越来越多了，基础的工作对应想要参与的人群基数越来越大，但是对于高端人才的需求还是很多，人才还是相对稀缺性的。所以，想要学web或者其他技术也一样，别等，别观望。web前端就业方向特别多包括web前端开发...
相对定位和绝对定位的区别是什么呢2021-04-09 11:10

回答 25

相对定位和绝对定位是定位的两种表现形式，区别如下：一、主体不同1、相对定位：是设置为相对定位的元素框会偏移某个距离。2、绝对定位：absolute 脱离文档流，通过 top,bottom,left,right 定位。二、特点不同1、相对定位：在使用相对定位时，无论是否进行移...
抓包是什么意思？2020-04-01 17:36

回答 7

已采纳

抓包（packet capture）就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。抓包可以通过抓包工具来查看网络数据包内容。通过对抓获的数据包进行分析，可以得到有用的信息。目前流行的...
前端常用的框架有哪些？2020-11-27 10:54

回答 89

常用的前端框架有Bootstrap框架、React框架、Vue框架、Angular框架、Foundation框架等等
前端自学的效果怎么样2020-11-19 13:46

回答 65

已采纳

前端是目的就业前景非常不错的一个计算机技术，但是自学的话还是有一定难度的，网络上自学是碎片化的，同时互联网技术跟新换代快，自己的话比较吃力也学习不到最新的技术。
SSR 是什么意思？2020-03-20 18:56

回答 6

SSR就是一台服务器，可以利用 SSR 在远程的服务器上配置 SSR，使其能够成为 SSR 节点，这样本地电脑或者其它设备利用 SSR 节点实现 VPN 或者远程上网及游戏加速等方面。ShadowsocksR（简称 SSR）是 Shadowsocks 分支，在 Shadowsocks 的基础上增加了一些数据...
现在计算机培训都有什么课程？2020-10-31 14:36

回答 52

已采纳

计算机培训方向比较多，建议找适合自己的方向选择培训编程类：JAVA、WEB、Python、C/C++、C#等测试类：软件测试运维类：云计算、网络安全设计类：UI设计、3D建模等
echarts 图表类型设置为time 时，设置2021-01-07 11:14

回答 11

1、代码判断xAxis: {type: 'time',splitLine: {show: false},interval: 3600, // 设置x轴时间间隔axisLabel: {formatter: function(value, index) {return liangTools.unix2hm(value)}}},首先要把xAxis 显示类型设置成time，然后设置对应X轴......
移动跨平台开发框架有哪些 HTML5移动框架 2022-04-01 18:57

回答 8

HTML5 + CSS + JavaScript 开发跨平台重用代码
miniMobile移动端框架有什么特点 HTML5移动框架 2022-04-01 18:57

回答 4

采用rem单位自动响应,并提供独有栅格化系统快速定义宽高、边距节省css代码量,同时总结各大型移动端网页,提供一套ui颜色搭配规范,尺寸规范,字体规范等。
求推荐界面比较漂亮的移动开发框架 HTML5移动框架 2022-03-15 16:12

回答 10

iView UI、ioni、SUI
移动端开发用什么JS框架好 HTML5移动框架 2022-03-11 18:19

回答 6

jQTouch
现在移动端开发都用的什么框架 HTML5移动框架 2022-03-11 18:19

回答 4

如果只是普通的移动端用vue react 或者dva 如果是要编译成小程序什么的或者混生就用uni-app（对应vue语法）taro（对应react）或者纯原生这个没有限制的，自己怎么舒服怎么来
为什么说atom和sublime都是前端开发者用的 HTML编辑器 2022-01-06 15:12

回答 4

因为可以运用在网页和小程序的开饭中，而且开源，用着便宜，企业都很喜欢
前端开发用的文本编辑器有哪些？HTML编辑器 2022-01-06 15:10

回答 10

一、Visual Studio Code下载地址：https://code.visualstudio.com/微软在2015年4月30日Build 开发者大会上正式宣布了 Visual Studio Code 项目：一个运行于 Mac OS X、Windows和 Linux 之上的，针对于编写现代 Web 和云应用的跨平台源代码编辑器。Visual Stud...
如何循环淡入淡出图片 css样式 2021-12-08 11:25

回答 9

jQuery自带淡入淡出效果 https://www.w3school.com.cn/jquery/jquery_fade.asp 看看这个

没有解决我的问题，去提问