|
跨站腳本攻擊漏洞全稱為Cross Site
Scripting����,簡稱為CSS,但為了避免與前端疊成樣式表的縮寫產(chǎn)生沖突��,故稱為XSS��。那么到底什么是跨站腳本攻擊漏洞?其分為哪幾類?防護技巧有哪些?本文為大家重點介紹一下��。 跨站腳本攻擊�����,俗稱XSS��,通常指利用網(wǎng)站漏洞從用戶處獲取隱私信息����?��?缯灸_本縮寫為CSS,但由于層疊樣式表的縮寫重復�����,為了避免混淆�����,大部分地區(qū)都稱為XSS�。 XSS漏洞分類 XSS漏洞類型可以分為三類���,按其危害程序排序由高到低分別為:存儲型XSS��、反射型XSS��、DOM型XSS����。 存儲型XSS:也稱其為持久性跨站���,是最為直接的危害類型��,其跨站代碼存儲于數(shù)據(jù)庫中�,常見于數(shù)據(jù)交互界面,如注冊界面等����。 反射型XSS:此類型也稱為非持久型跨站,同時也是最為普通的類型��,用戶訪問服務(wù)器后���,通過跨站連接返回跨站代碼����,一般是一次性使用�,即用即得,常見于信息查詢等可以獲取大量信息的界面��。 DOM型XSS:DOM意為文檔對象模型�,是客戶端腳本邏輯有誤導致的安全問題,類似于反射型XSS為一次性使用��,漏洞一般直接存在于前端代碼����,不與后臺服務(wù)器交互����。 XSS漏洞防護技巧 1�、不隨意插入不可信數(shù)據(jù) 2、在向HTML中插入數(shù)據(jù)前�,對HTML進行解碼 3、在向HTML常見屬性插入數(shù)據(jù)前����,進行屬性解碼 4、在向HTML URL插入數(shù)據(jù)前�����,進行URL解碼 5��、加大驗證力度��,驗證格式���,范圍以及內(nèi)容
|
