xss全稱為 cross site scripting,
。它指的是惡意攻擊者往web頁面裡插入惡意html**,當使用者瀏覽該頁之時,嵌入其中web裡面的html**會被執行,進而達到某些人的攻擊目的。
分類2、xss儲存型攻擊,惡意**被儲存到目標**的伺服器中,這種攻擊具有較強的穩定性和永續性,比較常見場景是在部落格,論壇等社交**上,但oa系統,和crm系統上也能看到它身影,比如:某crm系統的客戶投訴功能上存在xss儲存型漏洞,黑客提交了惡意攻擊**,當系統管理員檢視投訴資訊時惡意**執行,竊取了客戶的資料,然而管理員毫不知情,這就是典型的xss儲存型攻擊。
危害
1.竊取cookies,讀取目標**的cookie傳送到黑客的伺服器上
2.讀取使用者未公開的資料,如果:郵件列表或者內容、系統的客戶資料,聯絡人列表等等
防禦
1、最簡單的處理辦法,只需要在接受資料處理的時候用上過濾函式htmlspecialchars,這個函式會把**中的特殊字元轉義成html實體,輸出的時候就不會影響頁面了
htmlspecialchars($_post['content']);<?php
$rege = '/<\/?[^>]+>/';
$result = preg_replace($rege,"",$_post['content']);
echo $result;
?>
<?php
$str = 'test parjlkasdf
other text';
echo strip_tags($str);
echo "
"; echo strip_tags($str,'');//允許p標籤和a標籤
?>
web安全 XSS攻擊
xss xss,即為 cross site scripting 中文名為跨站指令碼 不使用css縮寫是為了與層疊樣式表區分 是發生在目標使用者的瀏覽器層面上的,當渲染dom樹的過程成執行了不在預期內的js 時,就發生了xss攻擊。xss分為反射型xss,儲存型xss和dom xss 1 反射型xss...
php防範XSS攻擊
跨站指令碼攻擊 cross site scripting 攻擊者往web頁面裡插入惡意script 當使用者瀏覽該頁之時,嵌入其中web裡面的script 會被執行,從而達到惡意攻擊使用者的目的。模擬過程 新增功能中,請求引數值包含script標籤js 新增成功之後,資料表中 訪問新增的這條資料,j...
web安全之xss攻擊
xss攻擊的全稱是cross site scripting xss 攻擊,是一種注入式攻擊。基本的做法是把惡意 注入到目標 由於瀏覽器在開啟目標 的時候並不知道哪些指令碼是惡意的,所以瀏覽器會無差別執行惡意指令碼,從而導致使用者資訊和一些敏感資訊被盜取和洩漏。xss一般分為兩種型別,持久化的xss和...