xss攻击
来源:互联网 发布:三得利乌龙茶 知乎 编辑:程序博客网 时间:2024/06/06 03:45
攻击方式
1 . 反射型
标题
发出请求时,xss代码出现在url中,作为输入提交到服务器端,服务器端解析后响应,xss代码随响应一起传回到浏览器,最后浏览器解析执行xss代码,这解析过程像一次反射,所以叫做反射型。
演示: 使用express构建node应用
var express = require('express');var router = express.Router();/* GET home page. */router.get('/', function(req, res, next) { res.set('X-XSS-Propection',0)//设置浏览器是否拦截 res.render('index', { title: 'Express',xss:req.query.xss });});module.exports = router;
我们通过req.query.xss获取地址栏参数为xss的值,然后解析并渲通过ejs染到页面中,以下为view代码:
<html> <head> <title><%= title %></title> <link rel='stylesheet' href='/stylesheets/style.css' /> </head> <body> <h1><%= title %></h1> <p> <%- xss %> </p> </body></html>
当我们在地址栏输入代码时,页面就可以执行:
当点击aaa时,页面就会执行xss里面的代码。
或者引入一个iframe:
http://localhost:3000/?xss=<iframe src='www.baidu.com'></iframe>
这也是植入广告的一种形式:
2 . 存储型
提交的代码会存储在服务器端(数据库,内存,文件系统),下次请求页面不用再提交xss代码
防范措施
过滤:移除用户上传的DOM属性,style节点、script节点、iframe节点
阅读全文
0 0
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- xss攻击
- XSS攻击
- xss攻击
- 案例-----简易新闻客户端
- linux16.04+cuda8.0+opencv3.1
- VMware虚拟机三种网络模式详解 Bridged(桥接模式)
- winpython下载安装
- Unity2d Sqlite
- xss攻击
- 【OpenCV3图像处理】形态学 --- 膨胀、腐蚀、开运算 闭运算、形态学梯度、顶帽运算、黑帽运算
- 夹逼定理
- 【模板】EK求最大流
- Python爬虫--《山大主页》
- 计算机视觉三大顶级国际会议和国外知名期刊投稿
- C++/MFC-GDI主要对象(Bitmap、CBrush、CFont、CPalette、CPen和CRgn)
- 日常训练 20170602 B君的教育
- 图像处理-神奇的卷积核