6.XSS攻击方式及防御措施

zhuangnet 2020-02-28

一.前端XSS攻击分类

1.什么是XSS攻击

  XSS允许恶意的web用户将代码植入到提供给其他用户使用的页面中

6.XSS攻击方式及防御措施

2.XSS分类

  • 反射型(非持久型)XSS

  • 存储型(持久型)XSS

  • DOM-Basedx型 XSS

(1)反射型XSS

  • 攻击方式:诱导用户点击率一些带恶意脚本参数的URL,而服务器直接使用了恶意脚本并返回了结果页,从而导致恶意代码在浏览器执行

6.XSS攻击方式及防御措施

(2)持久型XSS

  • 攻击方式:将恶意代码上传或存储到了漏洞服务器上,用户访问页面时,页面中包含了恶意脚本

6.XSS攻击方式及防御措施

(3)DOM-Basedx型XSS

  • 攻击方式:由于客户端JavaScript脚本修改页面DOM结构时(修改文本、重绘、重排)引起浏览器DOM解析所造成的一种漏洞攻击

6.XSS攻击方式及防御措施

二.XSS攻击防范措施

1.后台设置Cookie属性

  • 后台设置Cookie的httpOnly属性,让客户端脚本无法访问cookie的信息

6.XSS攻击方式及防御措施

2.后台过滤数据

  • 判断输入格式,只允许通过特定格式的字符

  • 收到数据时过滤危险字符

  • 过滤与转义需前端与服务器配合使用

相关推荐