zoukankan      html  css  js  c++  java
  • 6.XSS攻击方式及防御措施

    一.前端XSS攻击分类

    1.什么是XSS攻击

      XSS允许恶意的web用户将代码植入到提供给其他用户使用的页面中

    2.XSS分类

    • 反射型(非持久型)XSS

    • 存储型(持久型)XSS

    • DOM-Basedx型 XSS

    (1)反射型XSS

    • 攻击方式:诱导用户点击率一些带恶意脚本参数的URL,而服务器直接使用了恶意脚本并返回了结果页,从而导致恶意代码在浏览器执行

    (2)持久型XSS

    • 攻击方式:将恶意代码上传或存储到了漏洞服务器上,用户访问页面时,页面中包含了恶意脚本

    (3)DOM-Basedx型XSS

    • 攻击方式:由于客户端JavaScript脚本修改页面DOM结构时(修改文本、重绘、重排)引起浏览器DOM解析所造成的一种漏洞攻击

    二.XSS攻击防范措施

    1.后台设置Cookie属性

    • 后台设置Cookie的httpOnly属性,让客户端脚本无法访问cookie的信息

    2.后台过滤数据

    • 判断输入格式,只允许通过特定格式的字符

    • 收到数据时过滤危险字符

    • 过滤与转义需前端与服务器配合使用

  • 相关阅读:
    哈希及哈希算法
    十四章课后练习题
    第十章课后题----3
    20151015----知识整理
    第十章练习题----2
    加热水杯
    函数
    异常反馈
    20151013知识体系整理,需与20151011相整合
    Java随机输出验证码包含数字、字母、汉字
  • 原文地址:https://www.cnblogs.com/zhihaospace/p/12375371.html
Copyright © 2011-2022 走看看