以前写程序没有怎么关注这些网络安全问题,随着自己写的程序越来越多,开始关注了网络安全了。
一、什么是XSS
XSS(Cross-Site Scripting) 跨站脚本是一种经常出现在web应用程序的计算机安全漏洞,通常是程序过滤不足造成的
二、XSS攻击方式以及表现形式
XSS攻击方式分为两种。
一种是反射性攻击,表现为主动注入脚本,直接执行代码
还有一种是持久性的XSS,表现为把脚本写入数据库中,其余用户打开页面的时候就会被收到信息盗用。
三、它原理是什么
原理其实很简单,因为浏览器支持dom,js,html等,可以注入代码在你的程序中,并执行了代码,黑客可以利用提交数据的时候自动获取你的cookie发送链接到其余的服务地址获取你的信息,或者让正常的网页多执行一段html页面代码,不停刷新服务器等....
四、如何避免,解决方法是什么
注入脚本基本上是我们允许用户输入字符串的时候造成的,但是我们很多情况下又不能不让用户输入字符串。
方案如下:
1.输入验证,前后端都需要做处理
2.尽量避免get请求
3.服务器做好XSS的过滤器,支持黑白名单支持
4.能用session尽量不用cookie
以上方法基本能解决大部分问题了.