1、Xss的作用体现在哪里?
Xss产生的原因,如何避免,如何利用?
Xss注入脚本之后,会持久地显示在网页中么?如何能持久地显示,原理是什么?为什么其他用户也会受到影响。
Xss分为反射式和持久式,反射式是指破坏者针对于网址的漏洞,加上自己设计的参数,形成一个特有的链接,通过某种方式发送给用户,用户点击之后,就会中招。试想,我根据xxx.com的xss漏洞,设计一个链接,当用户访问这个链接的时候,会执行一个脚本,将当前用户的cookie发送到指定的邮箱中。
利用反射式,生成的链接会异常的长,而且掺杂了很多script语句,用户很难中招。解决方法是对其参数部分进行加密,而浏览器能够是被这种加密
持久式Xss一般是通过评论、博客等渠道注入到网站中,会对Web服务器造成影响,其他用户一旦访问到被注入了js的页面,就会中招。
xss在注入的过程中,很可能会遭到转义,这时有一些方法可以避免被转义,
'><xss a='
所有的输入就会变成
INPUT type="text" value=''>
2、如何来发掘xss漏洞?
数据交互的地方容易产生跨站脚本
3、为什么cookie设置HttpOnly可以防止Xss攻击
因为设置了HttpOnly,cookie只能由后端访问,前端脚本无法访问或操作Cookie。如何设置HttpOnly