烽烟博客什么是 XSS?
跨站点脚本,通常简称为 XSS,是针对 Web 应用程序的网络攻击方法之一。
简单来说,就是通过在Web应用程序的输入框中输入恶意脚本代码并执行,使应用程序发生故障或提取个人信息等数据的方法。
如果在Web应用端采取反制措施,这种恶意代码会被忽略而不被执行,但如果有部分(即漏洞)不采取反制措施,则有受到XSS攻击的风险。
XSS攻击方式
下面我们就来看看XSS的具体攻击方式。
实际执行的脚本代码有多种模式,这里以举例说明。
此外,对实际网站进行此类攻击属于犯罪行为,因此请了解攻击方法并学习以作为对策。
例如,您的Web应用程序中有一个这样的注册表单。
通常情况下,应该在这个名为“备注说明”的输入框中输入语句,但恶意用户却在这里输入了这样的JavaScript代码。
<script>alert('Hello!')</script>
此脚本代码是一条“显示弹出式Hello!”的指令。
如果在没有XSS反制的Web应用程序中注册了这样的代码,应用程序在显示数据时会执行这段代码。
然后警告将像这样显示。
这不是问题,因为它只显示 Hello!,但是如果像这样更改 Hello! 部分,还可以显示保存在浏览器中的 cookie 信息。
<script>alert(document.cookie)</script>
只要点击未经授权的链接,就有可能以自己的帐号未经许可使用Web应用程序,个人信息可能会被泄露、发布、删除等。
这样,攻击的目标就不是易受攻击的网站,而是访问它的用户。
如何处理?
作为Web应用程序开发人员,为了采取XSS反制措施,实现“校验处理”和“转义处理”是很重要的。
通过在注册时执行检查处理(称为验证),不接受无效数据的注册,并且通过在输出时执行转义处理,即使注册了HTML标签或JavaScript代码,也将被视为“只是strings" 打印它们时,不会执行任何代码。
此外,请注意这些攻击方法,注意不要点击电子邮件、短信中的可疑链接。
