本文详细阐述了XSS漏洞的原理,包括反射型、存储型和DOM型的区别,强调了其可能造成的危害如信息窃取、会话劫持等,并提供了相应的防范措施,如输入验证、输出编码和使用内容安全策略等。
目录
1.1 XSS漏洞原理
Cross-site Scripting,简称XSS
原理:就是程序对输入输出没有做合理的过滤限制,导致攻击者构造的字符输出到前端时被浏览器当作有效代码解析执行从而产生的危害
1.2 XSS漏洞分类
1、反射型XSS 非持久性XSS(一次性),当用户访问一个带有XSS代码 的HTML请求时,服务端接收后处理,然后把带有XSS的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,造成XSS漏洞
2、存储型XSS,持久性XSSS,存储型XSS是最危险的一种跨站脚本漏洞,当攻击者提交一段代码后,被服务端接收并存储,当攻击者或用户再次访问某个页面时,这段XSS代码被程序读出来响应给浏览器,造成XSS跨站攻击
3、DOM型XSS DOM型XSS注入和反射型的原理类似,只不过DOM型的XSS注入不需要经过后端代码处理,而是在前端Javascript调用DOM元素时可能产生的漏洞,可能触发DOM型XSS的javascript代码
总结:存储型XSS危害最大,因为他存储在服务器端,所以不需要我们和被攻击者有任何接触,只要被攻击者访问了页面就会遭受攻击,而反射型和DOM型需要我们去诱使用户点击我们构造的恶意URL,需要我们和用户有直接或间
最低0.47元/天 解锁文章
扫一扫
2772
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
