XSS危害
-
网络钓鱼,包括盗取各类用户账号;
-
窃取用户cookie资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作;
-
劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账,强制发表日志,发送电子邮件等;
-
强制弹出广告页面,刷流量等;
-
网页挂马;
-
进行恶意操作,例如任意篡改页面信息,删除文章等;
-
进行大量的客户端攻击,如DDOS攻击;
-
获取客户端信息,例如用户的浏览历史,真实ip,开放端口等;
-
控制受害者机器向其他网站发起攻击;
-
结合其他漏洞进一步扩大攻击;
-
提升用户权限,包括进一步渗透网站;
-
传播XSS跨站脚本蠕虫等
XSS防护
-
输入与输出中的过滤
-
黑名单与白名单
-
WEB安全编码规范
-
HttpOnly cookie
总的原则:输入做过滤,输出做转义
-