Fork me on GitHub

xss

发表于

XSS

XSS 跨站脚本攻击(Cross Site Scripting)

攻击方式

反射型 存储型

反射型 发出请求时,xss代码出现在url中,作为输入提交到服务器,服务器端解析后响应,xss代码随相应内容一起传回给浏览器。

存储型 提交的代码会存储在服务器端( 数据库,内存,文件系统等),下次请求目标页面时不用提交XSS代码

防御措施

编码 过滤 校正

编码  html Entity 对字符转义
过滤 (最重要)
    移除用户上传的DOM属性,eg:onerror onclick 
    移除用户上传的Style Script Iframe节点等    
校正
    避免直接对html entity解码
    使用DOM Parse转换,校正不配对的DOM标签。
-------------本文结束感谢您的阅读-------------