XSS漏洞类型原理及防御方式_三种xss漏洞防御

2401_83739931

已于 2024-04-12 05:18:05 修改

阅读量1.2k

点赞数 13

分类专栏： 2024年程序员学习文章标签： xss 前端

于 2024-04-12 05:18:03 首次发布

本文链接：https://blog.csdn.net/2401_83739931/article/details/137662244

版权

2024年程序员学习专栏收录该内容

285 篇文章 0 订阅

订阅专栏

一、xss简介

XSS全称是Cross Site Scripting即跨站脚本，为了与层叠样式表Cascading Style Sheets，CSS）的缩写进行区分，将跨站脚本攻击缩写为XSS，其本质是攻击者在web页面插入恶意的script代码（这个代码可以是JS脚本、CSS样式或者其他意料之外的代码），当用户浏览该页面之时，嵌入其中的script代码会被执行，从而达到恶意攻击用户的目的。

二、xss原理

HTML是一种超文本标记语言，我们在浏览器上看到的页面都是HTML语言编写的，HTML中会有一些用JavaScript脚本嵌入其中，用来对页面进行特殊的处理，如果我们可以向浏览器插入一段JavaSvript脚本代码，那么用户浏览器会将其误认为是插入了HTML标签，这些脚本程序就将会在用户浏览器中执行。所以，当这些特殊字符没有被过滤或检查出现失误时，就将会产生XSS漏洞。

三、xss攻击类别

可以分为三类

反射型
存储型
DOM型

1、反射型XSS

当发出请求时，XSS代码出现在URL中，作为输入提交到服务器端，服务器端解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。
流程图：
在这里插入图片描述
看一个例子：
这是一个存在xss的一个网页，那我们在输入框输入js脚本代码来测试是否执行我们的脚本。
#正常情况下我们会输入以下代码的其中一个

<script>alert(/xss/)</script>   //提示框  弹窗
<script>confirm('xss')</script> //确认框  弹窗
<script>prompt('xss')</script>  //输入框  弹窗

#这些代码简单，效果又明显

在这里插入图片描述
当我们点击test提交数据时，可以看到我们输入的js被执行弹出了提示框

通过URL可以看到,输入的值会被拼接在URL上当作参数传入后端，经过钩端的处理返回到页面，被浏览器解析，导致脚本执行。
源码：
在这里插入图片描述
特点：1、即时性。不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据；2、攻击者需要诱骗点击；3、反馈率低，所以较难发现和响应修复；4、盗取用户敏感保密信息。

2、存储型XSS

存储型XSS，又称持久型XSS，他和反射型XSS最大的不同就是，攻击脚本将被永久地存放在目标服务器端（数据库，内存，文件系统等），下次请求目标页面时不用再提交XSS代码。
流程：
在这里插入图片描述
看一个例子：

上面是一个存在xss漏洞的留言板，那么我们在留言板上留言一个js脚本并提交。

js脚本被执行了，此时还看不出和反射型的区别。但我们将页面关闭再打开，或者点到别的页面再点回来。
在这里插入图片描述
可以看到js代码再次执行了，留言列表也出现了，我们的js脚本存放再列表中，当我们进入页面时，浏览器会解析页面，列表中的数据也会被解析，那js脚本被解析就会执行。只要我们的js脚本没有被删除，只要有人访问就会执行，从而达到代码自动执行和持久性的效果。
在这里插入图片描述
**特点：**1、持久性，植入在数据库中；2、危害面广，甚至可以让用户机器变成 DDoS 攻击的肉鸡；3、盗取用户敏感私密信息。

3、DOM型XSS

DOM，全称Document Object Model，是一个平台和语言都中立的接口，可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式，DOM-XSS简单理解就是不与后台服务器产生数据交互，是一种通过DOM操作前端代码输出的时候产生的问题。
DOM中有很多对象，其中一些是用户可以操纵的，如URI ，location，refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容，它不依赖于提交数据到服务器端，而从客户端获得DOM中的数据在本地执行，如果DOM中的数据没有经过严格确认，就会产生DOM XSS漏洞。
看一个例子：
在这里插入图片描述
结合前端与源码可以看到，当我们点击click me时会将我们输入的值会经过js脚本代码的处理，插入到id 为"dom"的标签中。可以看到只在前端完成，没有经过服务器后端。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
[外链图片转存中…(img-1ojTNG9v-1712870267734)]

2401_83739931

关注

13
点赞
踩
27

收藏

觉得还不错? 一键收藏
0
评论
XSS漏洞类型原理及防御方式_三种xss漏洞防御

XSS全称是Cross Site Scripting即跨站脚本，为了与层叠样式表Cascading Style Sheets，CSS）的缩写进行区分，将跨站脚本攻击缩写为XSS，其本质是攻击者在web页面插入恶意的script代码（这个代码可以是JS脚本、CSS样式或者其他意料之外的代码），当用户浏览该页面之时，嵌入其中的script代码会被执行，从而达到恶意攻击用户的目的。
复制链接

扫一扫