什么是XSS攻击?如何防范XSS攻击?

最新推荐文章于 2024-05-22 10:49:06 发布
最新推荐文章于 2024-05-22 10:49:06 发布
阅读量4.2w 收藏 79
点赞数 9
分类专栏: 理论 文章标签: PHP XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43681537/article/details/84585554
版权

        XSS攻击又称CSS,全称Cross Site Script  (跨站脚本攻击),其原理是攻击者向有XSS漏洞的网站中输入恶意的 HTML 代码,当用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。XSS 攻击类似于 SQL 注入攻击,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 XSS是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式。

xss攻击可以分成两种类型:一种是非持久型XSS攻击 一种是持久型XSS攻击

非持久型xss攻击:顾名思义,非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。

持久型xss攻击:持久型xss,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。

 

也可以分成三类:

反射型:经过后端,不经过数据库

存储型:经过后端,经过数据库

DOM:不经过后端,DOM- xss是通过url传入参数去控制触发的。

 

解决方法

1.利用 php htmlentities()函数对传入参数的非法的 HTML 代码包括单双引号等进行转义。但是,中文情况下, htmlentities() 却会转化所有的 html 代码,连同里面的它无法识别的中文字符也给转化了。

2.利用 php htmlspecialchars()函数对传入参数的非法的 HTML 代码包括单双引号等进行转义,需要注意的是第二个参数默认是 ENT_COMPAT,函数默认只是转化双引号("),不对单引号(')做转义。更多的时候要加上第二个参数,应该这样用 : htmlspecialchars($string,ENT_QUOTES)对单双引号都进行转义。如果需要不转化任何的引号第二个参数使用ENT_NOQUOTES

3.通过正则表达式过滤传入参数的html标签来防范XSS攻击

 

_筱殇
关注
  • 9
    点赞
  • 79
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
什么是 XSS 攻击,如何避免?
黑马程序员广州中心的专栏
05-18 402
XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。 原理 攻击者往 web 页面里插入恶意的 HTML 代码(Javascript、css、html 标签等),当用户浏览该页面时,嵌入其中的 HTML 代码会被执行,从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作,破坏页面结构、重定向到其他网站等。 种类 1、DOM Based XSS:基于网页 DOM 结构的攻击 例如: input 标签 value 属性赋值 //jsp &..
HTTP系列 干饭人冲啊----XSS攻击?什么是xss攻击
Genus_的博客
01-13 446
什么是XSS攻击 XSS(Cross Site Scripting)攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并操作 这些操作一般可以完成下面这些事情: 窃取cookie 监听用户的行为,比如输入账号密码等 修改DOM伪造登录表单 在页面中生成浮窗广告 xss攻击指的是跨站脚本攻击,是一种代码注入攻击,攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息,如cookie等, xss的本质是因为网站没有对恶意脚本进行过滤,与正常代码混合在一起
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
XSS攻击详解
weixin_47450807的博客
03-01 3万+
本篇博客主要总结一下什么是XSS攻击,并且如何防范XSS攻击。 一、什么是XSS攻击 XSS攻击中文名称为:跨站脚本攻击,XSS的重点不在于跨站,而在于脚本的攻击。 XSS攻击的工作原理:攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌套在该页面的代码就会执行,因此会达到攻击用户的目的。 XSS的分类:XSS攻击最主要分为如下几类,反射型,存储型,DOM-based型。反射型和DOM-based型可以归类于非持久性XSS攻击。存储型可以归类于持久性XSS攻击。 二、反射型
什么是XSS攻击XSS跨站脚本攻击及防护(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-22 2581
XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当用户(被攻击者)登录网站时就会执行这些恶意代码,通过这些脚本可以读取cookie,session tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈。XSS玫击原理XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript 编写的恶意代码,也有使用其他客户端脚本语言编写的。当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8156
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
跨站脚本攻击(XSS)分类介绍及解决办法
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
前端安全系列:如何防止XSS攻击
01-27
在本文中,我们将深入探讨XSS攻击的各个方面,并提供预防和检测策略。 首先,我们要明确,XSS防护不仅是后端开发人员的责任,前端开发人员同样需要对此负责。尽管后端可以通过验证和转义用户输入来减少攻击机会,但...
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
什么是xss攻击
effort666的博客
06-06 1163
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体一点的介绍请google进行搜索。
web安全之XSS攻击原理及防范
lgxzzz的博客
05-27 8190
一:什么是XSS攻击? 二:反射型XSS 三:存储型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防范? 1. cookie安全策略 2. X-XSS-Protection设置 3. XSS防御HTML编码 4. XSS 防御HTML Attribute编码 5. XSS防御之javascript编码 6. XSS 防御之 URL 编码 7. XSS 防御之 CSS 编码 8. 开启CSP网页安全政策防止XSS攻击 回到顶部 一:什么是X
全网最详细 XSS 跨站脚本攻击,不是过来打死我!!
liuhyusb的博客
06-21 2558
​。
XSS攻击原理及危害,说的太详细了!(值得收藏)
周沐子
04-08 2204
防范存储型和反射型 XSS 是后端的责任DOM 型 XSS 攻击不发生在后端,是前端的责任。不同的上下文,调用不同的转义规则如 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内联 JavaScript 字符串、内联 CSS 样式表等,所需要的转义规则不一致。业务 需要选取合适的转义库,并针对不同的上下文调用不同的转义规则。
XSS攻击介绍(一)】
qq_55213436的博客
04-12 2万+
一、前言 XSS:跨站脚本攻击,即CSS。利用网页开发时留下的漏洞(web应用程序对用户的输入过滤不足),巧妙的将恶意的代码注入到网页中,使用户浏览器加载并执行恶意制造的代码,以达到攻击的效果。这恶意的代码通常是JS代码,但实际上也可以是JAVA、VBS、ActiveX、Flash或者是普通的HTML。(浏览器不会判断,只要是符合解析,那么就会执行恶意的代码)。可能存在XSS的地方:微博、留言板、聊天室等收集用户输入的地方都可能遭受XSS攻击的风险。只要你对用户的输入没有严格过滤。 ...
什么是XSS攻击?常见攻击方法汇总
a38417的博客
03-15 1300
XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。
XSS跨站脚本攻击(基础详解)
cike_y
01-10 3006
一次xss的备忘本,xss攻击有很多操作我都还没学会带入真正的实战,等实战成功我会再总结一篇
什么是 XSS 攻击?如何防范 XSS 攻击?
06-07
XSS(Cross-Site Scripting,跨站脚本攻击)指的是攻击者利用网站漏洞,将恶意脚本代码注入到网页中,使得其他用户在访问该页面时,恶意脚本会被执行,从而导致攻击者窃取用户的敏感信息或者利用用户的身份进行其他攻击。 XSS 攻击主要有两种方式:反射型 XSS 和存储型 XSS。反射型 XSS 攻击是指攻击者将恶意脚本代码作为参数传递给网站,网站在返回结果时,将恶意脚本代码反射到了用户的浏览器中执行;存储型 XSS 攻击是指攻击者将恶意脚本代码存储到网站的数据库中,其他用户在访问该网站时,恶意脚本代码会从数据库中读取并执行。 为了防范 XSS 攻击,可以采取以下措施: 1. 过滤用户输入数据,对特殊字符进行转义或者过滤。 2. 对于需要展示用户输入数据的地方,使用白名单机制,只允许特定的 HTML 标签和属性出现。 3. 在网站中添加 CSP(Content Security Policy)策略,限制页面的资源加载和执行。 4. 对于需要展示富文本的地方,使用安全的富文本编辑器,并且对富文本内容进行过滤和转义。 5. 将 Cookie 设置为 HttpOnly,防止脚本代码获取 Cookie 值。 6. 对于需要使用 JavaScript 的地方,使用框架提供的 API,避免直接使用 eval 函数等危险函数。 7. 定期对网站进行漏洞扫描和渗透测试,及时发现和修复漏洞。 综上所述,防范 XSS 攻击需要综合采取多种措施,包括对用户输入数据的过滤、使用白名单机制、添加 CSP 策略、安全的富文本编辑器、设置 HttpOnly Cookie、避免危险函数的使用等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值