跨站脚本攻击(XSS)

最新推荐文章于 2024-06-11 14:40:18 发布
最新推荐文章于 2024-06-11 14:40:18 发布
阅读量392 收藏
点赞数
分类专栏: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41033913/article/details/106313645
版权

目录

 

什么是XSS攻击

恶意代码是怎么注入的

存储型XSS攻击

反射性XSS攻击

基于DOM的XSS攻击

如何阻止XSS攻击

服务器对输入脚本进行过滤或者转码

充分利用CSP

使用HttpOnly属性

我们默认页面中可以引用任意第三方资源,然后又引入了CSP策略来加以限制;默认XMLHttpRequest和Fetch不能跨站请求资源,然后又通过CORS策略来支持其跨域。

不支持页面中的第三方资源引用和CORS也带来了许多问题,其中最典型的就是XSS攻击

什么是XSS攻击

XSS全称“Cross Site Scripting”,为了和“CSS”区分开来,简称XSS,意思就是“跨站脚本”。XSS攻击时黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。

当页面注入了恶意的JavaScript脚本时,浏览器无法区分这些脚本是恶意注入的还是正常的页面内容,所以恶意注入JavaScript脚本也能拥有所有的脚本权限。这些权限包括:

  • 窃取Cookie:document.cookie可以获取Cookie信息,然后通过XMLHttpRequest或者Fetch加上CORS将数据发送给恶意服务器

  • 监听用户行为:使用addEventListener接口监听键盘事件,例如可以获取用户输入的信用卡等信息,然后发送给恶意服务器

  • 修改DOM,伪造假的登录窗口,来欺骗用户输入用户名和密码等信息

  • 在页面内生成浮窗广告,严重影响用户体验

恶意代码是怎么注入的

最低0.47元/天 解锁文章
张小益达
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XSS脚本攻击
01-27
脚本攻击XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
XSS脚本攻击剖析与防御.pdf
05-16
XSS脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS 攻击常用代码
高压锅博客
12-22 7219
【代码】XSS 攻击常用代码。
Java代码审计之XSS攻击
tpaer的博客
12-07 1567
以代码实例复现Java中的XSS攻击,并给出修复建议。
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)_xss绕过
最新发布
weixin_42340783的博客
06-11 1343
尽管许多网实施了输入过滤措施来防止脚本XSS攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个脚本漏洞的检测指南。
XSS(脚本攻击) - 常用代码大全
热门推荐
CHK的博客
08-20 5万+
XSS(脚本攻击) - 常用代码大全: 1'"()&%<acx><ScRiPt >prompt(915149)</ScRiPt> <svg/onload=alert(1)> <script>alert(document.cookie)</script> '><script&a
XSS代码分析-和简单的过滤,学习笔记
ZhangAweio的博客
04-05 437
PHP环境。
【WEB漏洞原理】XSS 脚本攻击
过期的秋刀鱼
08-26 2306
当用户访问被XSS 脚本注入过的网页,XSS 脚本就会被提取出来,用户浏览器就会解析执行这段代码,也就是说用户被攻击了。DOM 型XSS 是一种XSS 攻击,其中攻击的代码是由于修改受害者浏览器页面的DOM 树而执行的。搜索框、登录框、微博、留言板、聊天室等等收集用户输入的地方,都有可能被注入XSS 代码,都存在遭受XSS 的风险。XSS 攻击目标是客户端浏览器用户,由于浏览器的类别不同,攻击效果不同,甚至于同一款浏览器,攻击效果都不一样。浏览器的类型,版本等因素都会影响XSS 的效果。
xss脚本攻击-运维安全详细笔记
06-30
xss脚本攻击知识点总结 xss脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss脚本攻击的知识点总结:...
脚本攻击XSS(Cross Site Script)的原理与常见场景分析
10-18
脚本攻击XSS,Cross Site Scripting)是一种常见的网络安全漏洞,它允许恶意攻击者在用户浏览器中注入并执行恶意脚本攻击者通常通过在网页上插入恶意HTML或JavaScript代码来实现这一目标。当用户访问这些被...
XSS(脚本攻击)详解
hello
07-02 3866
XSS简述-XSS类型-XSS常用标签
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
一些经典的XSS代码整理
主题模板站的博客
01-31 558
base64,>>有趣的isindex 興味深いhttp://jsbin.com/inekab for Opera only。IE valid syntax: 我,啊=1,b=[我,啊],alert(我,啊)
xss-收集常用的代码
weixin_44257023的博客
07-25 860
xss-收集常用的代码
xss之fetch()函数的利用
weixin_50464560的博客
08-17 631
https://legoc.github.io/2019/01/26/xss%E5%88%A9%E7%94%A8%E4%B9%8Bfetch/ 前言偶然间发现某有个漏洞 因为有WAF不好利用,我之前是不知道能咋利用, 然后大佬说能XSS利用,叫我写个fetch利用, 我????? 试着去学fetch这个东西了 于是有了此文 正文首先看看说明文档那个样子 https://segmentfault.com/a/1190000007019545 大致理解了 然后发出一个fetch的post请求 也就是这个样子
常见的XSS攻击代码
weixin_30621711的博客
11-09 631
第一类: <tag on*=*/> 在html标签中触发事件 Example: 1.加载完毕自动触发事件 <body onload="alert('xss')"></body> 2.使html某元素撑满整个页面 <p onclick="alert('1')" style="postion:fixed;width:100%;hei...
XSS脚本攻击
m0_52244931的博客
10-23 3929
XSS脚本go攻击
脚本攻击原理、攻击过程及防御方法简介
seek_2022的博客
05-03 8626
文章目录一、XSS简介(一)什么是XSS?(二)XSS的危害(三)XSS的分类(四)XSS的特性(五)XSS攻击过程二、如何防御XSS攻击?三、本文小结 一、XSS简介 (一)什么是XSS? Cross-Site Scripting,简称为XSS脚本脚本攻击,是一种针对网应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。 前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。 前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当
xss脚本***大全
weixin_34331102的博客
03-20 451
(1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签无分号无...
简述脚本攻击XSS的工作原理
05-10
脚本攻击XSS)是一种利用Web应用程序中的漏洞,将恶意脚本注入到受害者浏览器中的攻击方式。攻击者通过在目标网中注入恶意脚本,使得用户在浏览网时执行该脚本,从而达到攻击目的。 XSS攻击的工作原理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值