<form id="dlljd"></form>

<address id="dlljd"><address id="dlljd"><listing id="dlljd"></listing></address></address>

<em id="dlljd"><form id="dlljd"></form></em>

<address id="dlljd"></address>
<noframes id="dlljd">

聯系我們 - 廣告服務 - 聯系電話：

您的當前位置： > 關注 > > 正文

播報：前端安全跨站腳本攻擊是一種代碼注入攻擊

來源：CSDN 時間：2023-02-09 07:57:56

(資料圖片僅供參考)

XSS：跨站腳本攻擊，是一種代碼注入攻擊。攻擊者通過在目標網站上注入惡意腳本，使之在用戶的瀏覽器上運行。利用這些腳本，攻擊者可以獲取用戶的敏感信息，例如cookie, session等，進而危害數據安全。XSS的本質：惡意代碼未經過過濾，與正常的代碼混合在一起；瀏覽器無法區分哪些腳本是可信的，導致惡意腳本被執行。

XSS可以分為以下幾大類

存儲型用戶將惡意代碼提交到數據庫，當用戶打開目標網站是，數據庫中的惡意代碼被讀取，插入到頁面的代碼中。反射型攻擊者構造出特殊的URL，其中包含惡意代碼，頁面中讀取這個URL上拼接的惡意代碼，并執行。DOM型也是由攻擊者構造出特殊的URL，其中包含惡意代碼。這個惡意代碼未經過后端直接在前端執行。類似于反射型XSS，區別在于反射型XSS經過了服務端，屬于服務端安全漏洞

如何防御

輸入過濾根據具體情況我們可以在輸入側過濾，也可以在輸出側過濾改成純前端渲染，把代碼和數據分開如果插入到HTML中，需要做充分的轉義開啟Content Security Policy(CSP)策略，CSP策略可以禁止加載外域腳本，禁止外域提交，禁止內聯腳本執行，禁止未授權的腳本執行，合理上報及時發現XSS輸入長度控制開啟cookie的http-only，禁止js腳本讀取某些敏感Cookie驗證碼：防止冒充用戶提交危險操作。

責任編輯：

標簽：惡意代碼

上一篇：【環球聚看點】組件化元數據結構設計——PageMaker
下一篇：最后一頁

相關推薦：

精彩放送：

最新資訊

熱門排行

新聞聚焦

Top 中文字幕在线观看亚洲日韩