何为XSS攻击
分类
反射型
请求参数中包含script等特殊的指令,随响应返回至视图,使得视图层执行了对应的脚本
存储型
参数中包含特殊的脚本,且被持久化(记录在数据库等地方),用户再去使用时,读取了这些文件,HTML解析后误以为是页面脚本,
就会触发执行
DOM
输出点在 DOM 。XSS代码可能是<script src="https://xxx.js">,载入第三方的恶意脚本,这些恶意脚本通常读取用户的cookie
常见攻击方法
绕过XSS-Filter利用<>标签注入Html/JavaScript代码
利用HTML标签的属性值进行XSS攻击。
空格、回车和Tab。关键字被空白隔开,例如:<img src=“javas cript:alert(/xss/);”/>
利用事件来执行跨站脚本。例如:<img src=“#” onerror= “alert(1)”/>
利用CSS跨站。例如:body {backgrund-image: url(“javascript:alert(‘xss’)”)}
扰乱过滤规则。例如:<IMG SRC=“javaSCript: alert(/xss/);”/>
利用字符编码,通过这种技巧,不仅能让 XSS 代码绕过服务端的过滤,还能更好地隐藏 Shellcode
拆分跨站法,将XSS攻击的代码拆分开来,适用于应用程序没有过滤 XSS 关键字符(如<、>)却对输入字符长度有限制的情况下
DOM 型的XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上,它不依赖于提交数据到服务器,而是从客户端获得DOM中
的数据在本地执行。
容易导致 DOM 型的 XSS 的输入源包括:
Document.URL、
Location(.pathname|.href|.search|.hash)、
Document.referrer、
Window.name、
Document.cookie、
localStorage/globalStorage
如何预防
XSS Filter
按照我们指定的规则去提交数据,不符合规则的内容全部拦截
html特殊字符转义
显示结果 | 描述 | 实体编号 |
---|---|---|
空格 |   ; | |
< | 小于 | < ; |
> | 大于 | > ; |
& | 和 | & ; |
'' | 引号 | " ; |
Http Only cookie
许多XSS攻击的目的就是为了获取用户的cookie,我们可以将重要的cookie标记为http only,使得脚本无法访问cookie
欢迎大家和帝都的雁积极互动,头脑交流会比个人埋头苦学更有效!共勉!
公众号:帝都的雁