即时看！跨站脚本攻击是一种代码注入攻击

来源：CSDN 时间：2023-02-06 14:19:49

【资料图】

XSS：跨站脚本攻击，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些脚本，攻击者可以获取用户的敏感信息，例如cookie, session等，进而危害数据安全。XSS的本质：恶意代码未经过过滤，与正常的代码混合在一起；浏览器无法区分哪些脚本是可信的，导致恶意脚本被执行。

XSS可以分为以下几大类

存储型用户将恶意代码提交到数据库，当用户打开目标网站是，数据库中的恶意代码被读取，插入到页面的代码中。反射型攻击者构造出特殊的URL，其中包含恶意代码，页面中读取这个URL上拼接的恶意代码，并执行。DOM型也是由攻击者构造出特殊的URL，其中包含恶意代码。这个恶意代码未经过后端直接在前端执行。类似于反射型XSS，区别在于反射型XSS经过了服务端，属于服务端安全漏洞

如何防御

输入过滤根据具体情况我们可以在输入侧过滤，也可以在输出侧过滤改成纯前端渲染，把代码和数据分开如果插入到HTML中，需要做充分的转义开启Content Security Policy(CSP)策略，CSP策略可以禁止加载外域脚本，禁止外域提交，禁止内联脚本执行，禁止未授权的脚本执行，合理上报及时发现XSS输入长度控制开启cookie的http-only，禁止js脚本读取某些敏感Cookie验证码：防止冒充用户提交危险操作

标签：恶意代码

上一篇：组件化元数据结构设计——PageMaker
下一篇：最后一页