XSS(Cross-site scripting)是一种常见的Web应用安全漏洞,攻击者通过注入恶意HTML代码来实现对用户浏览器的控制。本文介绍了XSS攻击的基本概念、危害以及如何通过数据验证、字符替换、编码等方式进行防范。并提到防止XSS攻击的编程注意事项,如不信任输入数据,使用HtmlEncode和JavaScriptEncode等。同时,提到了微软的AntiXSS库作为有效防御工具。
Cross Site Script,缩写CSS又叫XSS,中文意思跨站脚本攻击,指的是恶意攻击者往Web页面里插入恶意html代码。
它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
举个简单的例子,当我们在代码里面动态设置a标签的链接:
<a href="http://xxx.xxxx.xxx">链接</a>如果此时链接被篡改为:
"><script>alert('XSS');</script><"则a标签变成了
<a href=""><script>alert('XSS');</script><"">链接</a>此时你应该看出问题了!
熟悉SQL的同学可能注意到了,XSS其实跟SQL注入是一个道理,使用特殊字符拼接脚本达到攻击的目的。
那么该如何防范XSS攻击呢?简单的来说可以编程的时候应该注意几点:
- 永远不要相信输入数据;
- 替换特殊字符,如<>’”&/等众多特殊字符;
- HtmlEncode和JavaScriptEncode会对你有所帮助;
- 微软的Anti-Cross Site Scripting Library (AntiXSS)能方便有效的预防XSS攻击,有关AntiXSS的介绍可以看这个文章:Anti-Cross Site Scripting Library (AntiXSS)
XSS漏洞是普遍存在的漏洞,就算百度、google这样的大公司也不例外。但程序员是一种追求完美的动物,我等力求自己的代码能尽可能的完善,至少尽可能的避免一些常见漏洞。这便要求我们更加细心的去写每一行代码。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
