什么是XSS?
经常将跨站点脚本攻击(Cross Site Scripting )简称为CSS,这与CSS的缩写混淆。 因此,有人将跨站点脚本攻击简称为XSS。
跨网站脚本攻击(XSS )是最常见的web APP应用中的安全漏洞。 此类漏洞允许攻击者将恶意脚本代码嵌入普通用户访问的页面中,普通用户访问该页面时,嵌入的恶意脚本代码会执行,从而进行恶意攻击
XSS能做什么?
1、盗用cookie获取机密信息。
2、利用移植Flash通过crossdomain权限设置获得更高的权限; 或者利用Java等得到同样的操作。
3、利用iframe、frame、XMLHttpRequest或者上述Flash等方式,以用户身份执行一些管理动作,或者执行一般的微博、添加好友、发送私信等操作。
4 .利用可攻击域受其他域信任的特点,进行非法投票活动等,要求作为受信任源平时不允许的操作。
5、访问量大的一些页面的XSS可以攻击一些小型网站,实现DDoS攻击的效果。
简单地说,攻击者通过普通的页面或请求,向后端请求非法的参数(例如js码、html码)并保存在数据库中,在下次回页时运行非法的参数,从而达到攻击的目的。
XSS漏洞修复
1 .严格过滤用户输入的数据,包括但不限于以下字符和字符串
javascriptscriptsrchrefimgonerroronload { } ()=, ' ' #! () ) ) )。
2、基于页面的输出背景环境,对输出进行编码。 常见符号的实体代码为以下:[根本解决方法]
“(双引号):quot
’(单引号):apos
(符号):amp
(右尖括号):gt
3、使用统一的规则和库编写输出代码
4、将cookie设置为HTTPOnly标志,以阻止客户端脚本访问cookie