一、XSS攻击原理
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码。
比如:
- 攻击者在论坛中放一个看似安全得链接,骗取用户点击后,窃取cookie中用户私密信息;
- 或者攻击者在论坛中加入一个恶意的表单,当用户提交表单得时候,却把信息传送到攻击者得服务器中,而不是用户原本以为得信任站点。
危害:
- 盗取用户信息,比如:机器登陆账号、用户网银账号、各类管理员账号。
- 控制企业数据,包括:读取、篡改、添加、删除企业敏感数据的能力。
- 盗窃企业重要的具有商业价值的资料。
- 非法转账。
- 强制发送电子文件。
- 控制受害者及其向其他网站发起攻击。
二、XSS攻击防范方法
首先代码里对用户输入的地方和变量都需要仔细检查长度和对“<>”、" "等字符做过滤,
其次任何内容械刀页面之前都必需加以encode,避免不小心把html、tag弄进来。这一个层面做好,至少可以堵住超过一半的Xss攻击。
首先,避免直接在cookie中泄露用户隐私,例如:email、密码等等。
其次,通过使cookie和系统ip绑定来降低cookie泄露的风险,这样攻击者得到的cookie没有实际价值,不可能拿来重放。尽量采用POST而非GET提交表单