前端面试:黑客的无尽和浏览器的反甲
1.引言
最近有同学在面试中被问到cookie针对xxs攻击设计了什么,因为’护甲’不厚,然后被’暴击’了。 所以本文针对一些浏览器上基本的攻击方式和防御策略总结了一下,可供参考(百度也行)
2.无尽之刃
(一)XSS
-
介绍:XSS 全称是 Cross Site
Scripting(即跨站脚本);通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。 -
原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞
-
特点
- 隐蔽性强 :由于XSS攻击在用户当前使用的应用程序中执行,用户将会看到与其有关的个性化信息,让人难以察觉
- 发起容易 :(XSS)是最普遍的Web应用安全漏洞
- 病毒跨站,本地执行
- 类型
- 存储型,顾名思义就是将恶意脚本存储了起来
- 文档型:XSS