XSS攻击是跨站脚本攻击,分为存储型、反射型和DOM型。攻击者利用未过滤的恶意脚本盗取用户信息。防御措施包括数据转义、使用CSP和设置http-only cookie。了解XSS本质,采取适当防护策略,保障网站安全。
XSS
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。
XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
分类
- 存储型:恶意代码提交到了网站的数据库中,当用户请求数据的时候,服务器将其拼接为 HTML 后返回给了用户,从而导致了恶意代码的执行;
- 反射型:攻击者构建了特殊的 URL,当服务器接收到请求后,从 URL 中获取数据,拼接到 HTML 后返回,从而导致了恶意代码的执行;
- DOM 型:攻击者构建了特殊的 URL,用户打开网站后,js 脚本从 URL 中获取数据,从而导致了恶意代码的执行。
防御总体思路
- 对存入数据库的数据都进行的转义处理,但是一个数据可能在多个地方使用,有的地方可能不需要转义,由于我们没有办法判断数据最后的使用场景,所以直接在输入端进行恶意代码的处理,其实是不太可靠的。
- 对需要插入到 HTML 中的代码做好充分的转义。对于数据获取渲染和字符串拼接的时候应该对可能出现的恶意代码情况进行判断。
- 使用 CSP ,CSP 的本质是建立一个白名单,告诉浏览器哪些外部资源可以加载和执行,从而防止恶意代码的注入攻击。通常有两种方式来开启 CSP,一种是设置 HTTP 首部中的
Content-Security-Policy,一种是设置 meta 标签的方式<meta http-equiv="Content-Security-Policy"> - 对一些敏感信息进行保护,比如 cookie 使用 http-only ,使得脚本无法获取。也可以使用验证码,避免脚本伪装成用户执行一些操作。
扫一扫
6734
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
