正文:
1,含義:
xss(cross site scripting), 中文名為跨站指令碼。是發生在目標使用者的瀏覽器層面上的,當渲染dom樹的過程成發生了不在預期內執行的js**時,就發生了xss攻擊。跨站指令碼的重點不在『跨站』上,而在於『指令碼』上。大多數xss攻擊的主要方式是嵌入一段遠端或者第三方域上的js**。實際上是在目標**的作用域下執行了這段js**。
2,攻擊型別:
(1)反射型 xss:通過url將xxs**提交到伺服器,伺服器處理後返回到瀏覽器進行解析
(3)dom xss:客戶端的問題,可能是編寫js造成的。(慎用eval)
3,危害:
(1)通過document.cookie盜取cookie
(2)使用js或css破壞頁面正常的結構與樣式
(3)流量劫持(通過訪問某段具有window.location.href定位到其他頁面)
(4)dos攻擊:利用合理的客戶端請求來占用過多的伺服器資源,從而使合法使用者無法得到伺服器響應。
(5)利用iframe、frame、xmlhttprequest或上述flash等方式,以(被攻擊)使用者的身份執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作。
(6)利用可被攻擊的域受到其他域信任的特點,以受信任**的身份請求一些平時不允許的操作,如進行不當的投票活動。
4,應對方案:
(1)對重要的cookie設定httponly
(2)對使用者輸入的資料進行編碼,讀出的時候進行解碼,把一些不合法的內容過濾掉(比如dom屬性,iframe, script節點)
前端安全之xss攻擊 - 凱斯keith -
前端XSS攻擊
什麼是xss攻擊?xss原稱為css cross site scripting 即跨站指令碼攻擊,因為和層疊樣式表 cascading style sheets 重名,所以改稱為xss x一般有未知的含義,還有擴充套件的含義 xss攻擊可能造成的後果 獲取頁面資料 獲取cookie 劫持前端邏輯 傳...
前端xss攻擊
xss跨站指令碼攻擊 cross site scripting 是一種經常出現在web應用中的計算機安全漏洞,它指的是惡意攻擊者往web頁面裡插入惡意html 當使用者瀏覽該頁之時,嵌入的惡意html 會被執行,從而達到惡意使用者的特殊目的。xss屬於被動式的攻擊,因為其被動且不好利用,所以許多人常...
web安全 XSS攻擊
xss xss,即為 cross site scripting 中文名為跨站指令碼 不使用css縮寫是為了與層疊樣式表區分 是發生在目標使用者的瀏覽器層面上的,當渲染dom樹的過程成執行了不在預期內的js 時,就發生了xss攻擊。xss分為反射型xss,儲存型xss和dom xss 1 反射型xss...