Xss

XSS

XSS: Cross Site Scripting, 跨站脚本攻击

XSS攻击涉及到攻击者,客户端,和web应用三者.

XSS原理:

  • Web应用未对用户提交请求的数据做充分的检查过滤,允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”),并将未经转义的恶意代码输出到第三方用户的浏览器解释执行,是导致XSS漏洞的产生原因。

XSS目前主要手段和目的:

  • 盗用cookie,获取敏感信息
  • 利用植入flash,通过crossdomain权限设置获取更高权限.
  • 利用iframe, frame, XMLHttpRequests等方式以用户身份执行一些管理操作.

XSS预防:

  • 过滤特殊字符
  • 使用http头指定类型
Designed by Canux