什么是xss攻击?
跨站脚本攻击 Cross Site Scripting
-
为什么其缩写不是css呢?原因是为了和重叠样式表css进行区分
XSS攻击是指攻击者通过在网页中注入恶意脚本,使得用户在浏览网页时执行该脚本,从而达到攻击的目的。
攻击者可以盗取用户Cookie,密码等重要数据。
例如:用户在评论框输入了javascript脚本而非正常文本,后台没有对该用户数据进行处理,直接放入数据库。那么,当第三方如其他用户访问该页面时,浏览器就会执行该脚本,从而盗取个人信息。
有哪些XSS攻击?
XSS攻击可以分为反射型、存储型和DOM型三种类型。
-
反射型XSS攻击是指攻击者将恶意脚本注入到URL参数中,当用户点击该URL时,恶意脚本会被执行。
-
存储型XSS攻击是指攻击者将恶意脚本存储到服务器上,当用户访问包含该恶意脚本的页面时,恶意脚本会被执行。
-
DOM型XSS攻击是指攻击者将恶意脚本注入到页面的DOM元素中,当用户与该元素交互时,恶意脚本会被执行。
如何防止XSS攻击?
后端永远不要轻易相信用户端提交的数据!!!
-
对用户提交的信息进行"消毒处理",也就是说对特殊字符进行过滤和转义。对js脚本中的<>进行转移<>再进行存储。
-
cookie中设置HttpOnly属性,js脚本将无法读取到cookie信息!
-