本文探讨了XSS攻击的类型、原理和手段,包括反射型和存储型XSS,并详细介绍了如何在Vue.js应用中实施防御措施,如浏览器自带防御、编码转义、过滤非法输入以及使用Content Security Policy(CSP)来增强安全性。
一、XSS攻击
Cross Site Scripting跨站脚本攻击
利用js和DOM攻击。
盗用cookie,获取敏感信息
破坏正常页面结构,插入恶意内容(广告..)
劫持前端逻辑
DDos攻击效果——分布式拒绝服务攻击
Server Limit Dos,Http header过长,server返回400
二、攻击原理和手段
攻击方式
反射性
存储性
1、反射型攻击
发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。
明文URL中value就是攻击代码
服务器解析URL中XSS代码并传回
浏览器解析执行
传播-》URL传播-》短网址传播
2、存储型攻击
存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。
更隐蔽。
XSS存在的位置
反射型——URL中
存储型——服务器端
XSS攻击注入点:
HTML节点内,通过用户输入动态生成
HTML属性,属性是由用户输入
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
