XSS漏洞

是什么?

指的是往动态页面中注入恶意script代码,当用户打开页面时,该恶意脚本将自动执行

为什么?

会造成什么危害?
获取cookie(对http-only没有用)

攻击场景

存储型XSS
典型案例
留言板XSS
反射型XSS
过程
浏览器发出请求时,XSS代码出现在URL中,作为输入提交到服务器,服务器解析后响应在相应内容中出现这段XSS代码,最后浏览器解析执行。
DOM型XSS
它和反射型以及存储型的差别在于DOM XSS的代码并不需要服务器解析响应的直接参与,触发XSS靠的是浏览器的DOM解析,可以认为完全是客户端的事情

怎么修复?

HTML/XML-使用escapeHTML转义
JavaScript-javascript escape转义
输出在URL中的数据,做URL安全输出
过滤敏感字符
可统一使用OWASP的ESAPI(Enterprise Security API)

赞(1) 打赏
特别声明:除特殊标注,本站文章均为原创,遵循CC BY-NC 3.0,转载请注明出处。三伏磨 » XSS漏洞

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏