XSS:原则、攻击、防御
原创 2020-10-13 16:50·无边无际的痕迹
一、什么是 XSS 攻击?
跨站点脚本被命名为 XSS 是为了将其与 CSS 级联样式表区分开来。代码注入攻击的一种,通常将恶意代码注入到html等客户端脚本语言中,XSS共有三种
反射型 XSS什么代码是攻击力的,也称为非持久性 XSS。也就是说,攻击一次性相当于受害者,表现为受害者点击了包含恶意JavaScript脚本的URL,Web应用程序只是将恶意脚本“反射”回受害者浏览,不做任何处理。 . 导致受害者浏览器执行相应脚本的浏览器
存储型 XSS,也称为持久型 XSS。攻击者上传的包含恶意js脚本等信息的消息由Web应用程序保存在数据库中。如果 web 应用在生成新页面时包含恶意 js 脚本,则会导致所有访问该网页的浏览器对其进行解析。执行恶意脚本。这种类型的攻击常见于博客、论坛和其他网站。
DOM XSS其实是一种特殊类型的反射型XSS,是一种基于DOM文档对象模型的漏洞,不需要与服务器交互。客户端脚本程序可以通过DOM动态修改页面内容什么代码是攻击力的,从客户端获取DOM中的数据并在本地执行。基于此特性,可以使用 JS 脚本来利用 XSS 漏洞。
示例:比如我在论坛发帖,帖子中包含恶意代码 location.href=’#39;+document.cookie’;
中芯北方集成电路制造(北京)有限公司工程师
注意
请登录后发表评论
注册
社交帐号登录