跨站點指令碼攻擊:通過對網頁注入惡意指令碼,成功地被瀏覽器執行,來達到攻擊的目的。
一、xss攻擊型別與原理
1. 反射型xss攻擊
非永續性攻擊,黑客使用社交性的互動技巧誘導使用者點選訪問目標伺服器的鏈結,但是鏈結中內嵌了惡意**,目標伺服器將惡意**原樣返回,使用者瀏覽器執行惡意**,從而達到攻擊目的。
攻擊原理流程圖:
(圖來自:
2. 儲存型xss攻擊
永續性攻擊,黑客將惡意指令碼提交到目標伺服器,目標伺服器將其儲存在資料庫中,當使用者訪問這些資料的時候,目標伺服器將惡意指令碼原樣返回,使用者瀏覽器執行惡意指令碼,從而達到攻擊目的。任何訪問該資料內容的使用者都會受到攻擊,其危害性遠大於反射型xss攻擊。
攻擊原理流程圖:
(圖來自:
3. dom型xss攻擊
非永續性攻擊,不經過後端,是基於文件物件模型的一種漏洞,是通過url傳入引數去控制觸發的,其實也屬於反射型xss攻擊。
二、xss攻擊的危害
通過xss攻擊,攻擊者可以盜取使用者的cookie資訊,以及一些私密資料資訊。
三、xss攻擊的防禦
2. 對動態輸出到使用者瀏覽器頁面上的內容進行html編碼,使指令碼無法在瀏覽器中執行。
3. 設定會話cookie的http only屬性,使得客戶端無法通過指令碼訪問cookie。
在php中,可以使用以下函式對資料進行過濾來防止xss攻擊:
strip_tags():刪除html標籤,保留一些原始資料。
htmlentities():使用一些等價的字元替代一些常見的html標籤。(&、"、'、)
htmlspecialchars():轉義每乙個可能的html標籤。
跨站指令碼攻擊 XSS
跨站指令碼攻擊,cross site script,為了區別css,英文縮寫為xss xss攻擊,通常指hacker通過 html注入 篡改了網頁,插入惡意的指令碼,從而在使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。xss根據效果的不同可以分為如下幾類 1.反射型xss 通過將使用者輸入的資料 反...
Xss跨站指令碼攻擊
1.內容 攻擊者在web網頁中插入惡意js 當使用者瀏覽該瀏覽器頁面的時候,嵌入web中的js 會被執行,從而受到惡意攻擊,這就是跨站指令碼攻擊。xss指令碼植入方式前台接收資料存入資料庫,在渲染頁面時從資料庫中讀取相應資訊 2 分類 1 反射性的xss 發出請求時,xss 出現在url中,作為輸入...
xss 跨站指令碼攻擊
這是乙個非常簡單的攻擊。兩個頁面如下 out.print request.getparameter content 如果攻擊者在輸入框裡面輸入以下內容 那麼就有以下結果 當然,使用者還可以輸入 不僅可以注入script,還可以直接注入html http localhost 8080 test myj...