切换主题

XSS 跨站脚本攻击

2023-06-25 18:06:44

XSS 全称 Cross site scripting

XSS 类型

  • 反射型 XSS
    • 一个精心设计的 URL(恶意链接),上面携带一段 js 代码或者一个外部链接,然后引入一个木马之类的,在木马里去读取 cookie 或者其他用户信息
  • 存储型 XSS
    • 在一些评论区或者邮件里很常见,比如在评论区里输入了一段 script 代码,点击发送时这段代码被注入到数据库,当其他人浏览评论区的时候服务器又会从数据库中把这段代码取出来,那么其他看到这个评论的人就会被攻击到
  • DOM 型 XSS
    • 通过 DOM 的一些操作修改页面源代码注入一些木马网址等。

预防 XSS

  • 输入过滤,对用户输入的数据进行过滤和校验,确保只接受合法的数据。
  • 输出转义,对内容进行适当的编码和转义处理。
  • CSP,在响应头里设置 CSP 策略,一串 meta 标签
  • HttpOnly 是 Cookie 中的一个属性,用于防止客户端脚本通过 document.cookie 属性访问 Cookie,有助于保护 Cookie 不被跨站脚本攻击窃取或篡改

Released under the MIT License.

Copyright © 2023-present