XSS攻击
来源:互联网 发布:知乎如何挑选钻戒 编辑:程序博客网 时间:2024/04/29 14:49
XSS攻击即跨站点脚本攻击(Cross Site Script),指黑客通过篡改网页,注入恶意HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。
常见的XSS攻击有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击的目的,如下图所示。
现实中,攻击者可以采用XSS攻击,偷取用户Cookie、密码等重要数据,进而伪造交易、盗窃用户财产、窃取情报等。
另外一种XSS攻击是持久型XSS攻击,黑客提交含有恶意脚本的请求,保存在被攻击的Web站点的数据库中,用户浏览网页时,恶意脚本被包含在正常页面中,达到攻击的目的,如下图所示。此种攻击常用于论坛、博客等Web应用中。
XSS攻击相对而言是一种古老的攻击手段,却不断变换出新的攻击花样,许多以前认为不可能用来攻击的漏洞也逐渐被攻击者利用,因此XSS防攻击也是非常复杂的,主要手段有如下两种:
消毒
XSS攻击者一般都是通过在请求中嵌入恶意脚本达到攻击的目的,这些脚本是一般用户输入中不使用的,如果进行过滤和消毒处理,即对某些html危险字符转义,如“>”转义为”>”、”<”转义为”<”等,就可以防止大部分攻击。为了避免对不必要的内容错误转义,如”3<5”中”<”需要进行文本匹配后再转义,如”< img src=”这样的上下文中”<”才转义。消毒几乎是所有网站最必备的XSS防攻击手段。
HttpOnly
最早由微软提出,即浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie。HttpOnly并不是直接对抗XSS攻击的,而是防止XSS攻击者窃取Cookie。对于存放敏感信息的Cookie,如用户认证信息等,可通过对该Cookie添加HttpOnly属性,避免被攻击脚本窃取。
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- XSS攻击
- xss攻击
- XSS攻击
- xss攻击
- XSS攻击
- xss攻击
- java学习第十二天之多线程死锁和并发
- OpenCV 自带例程总结
- 微信公众号开发之授权获取用户信息
- Convert sorted list to binary search tree
- Mutual Training for Wannafly Union #6 [SPOJ
- XSS攻击
- Code for Machine Learning Diagnostic
- 线性表(带头结点的单链表)
- IOS Contacts获取联系人
- Handler、MainThread、Looper、MessageQueue
- 开通了
- POJ3723-Conscription(Kruskal + DJS)
- java学习之练习题
- CDOJ 1321柱爷的恋爱 (区间dp)