播报:前端安全 跨站脚本攻击是一种代码注入攻击

发布时间:   来源:CSDN  


(资料图片仅供参考)

XSS:跨站脚本攻击,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些脚本,攻击者可以获取用户的敏感信息,例如cookie, session等,进而危害数据安全。XSS的本质:恶意代码未经过过滤,与正常的代码混合在一起;浏览器无法区分哪些脚本是可信的,导致恶意脚本被执行。

XSS可以分为以下几大类

存储型 用户将恶意代码提交到数据库,当用户打开目标网站是,数据库中的恶意代码被读取,插入到页面的代码中。反射型 攻击者构造出特殊的URL,其中包含恶意代码,页面中读取这个URL上拼接的恶意代码,并执行。DOM型 也是由攻击者构造出特殊的URL,其中包含恶意代码。这个恶意代码未经过后端直接在前端执行。类似于反射型XSS,区别在于反射型XSS经过了服务端,属于服务端安全漏洞

如何防御

输入过滤 根据具体情况 我们可以在输入侧过滤,也可以在输出侧过滤改成纯前端渲染,把代码和数据分开如果插入到HTML中,需要做充分的转义开启Content Security Policy(CSP)策略,CSP策略可以禁止加载外域脚本,禁止外域提交,禁止内联脚本执行,禁止未授权的脚本执行,合理上报及时发现XSS输入长度控制开启cookie的http-only,禁止js脚本读取某些敏感Cookie验证码:防止冒充用户提交危险操作。

相关文章Related

返回栏目>>