1、XSS简介
跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
XSS跨站漏洞如此普遍和流行的主要因素有如下几点:
- web浏览器本身的设计是不安全的,浏览器包含了解析和执行javaScript等脚本语言的能力,这些语言可以用来创建各种丰富的功能,而浏览器只会执行,不会判断数据和代码是否恶意。
- 输入和输出是web应用程序最基本的交互,在这过程中,若没有做好安全防护,Web程序很容易出现XSS漏洞。
- 现在的应用程序大部分是通过团队合作完成的,程序员之间的水平层次不齐,很少有人受过正规的安全培训,不管是开发程序员还是安全工程师,很多没有真正意识到XSS的危害。
- 触发跨站脚本的方式非常简单,只要像HTML代码中注入脚本即可,而且执行此类攻击的手段众多,譬如利用CSS、Flash等。XSS技术的运用灵活多变,做到完全防御是一件相当困难的事情。
- 随着Web 2.0的流行,网站上交互功能越来越丰富。Web 2.0鼓励信息分享与交互,这样用户就有了更多的机会去查看和修改他人的信息,比如通过论坛、blog或社交网络,于是黑客也就有了更广阔的空间发动XSS攻击。