xss漏洞以及防御實(shí)現(xiàn)

XSS三種類型

  • 存儲(chǔ)型XSS:數(shù)據(jù)庫中存在XSS攻擊的數(shù)據(jù),若數(shù)據(jù)未經(jīng)過任何轉(zhuǎn)義,返回給客戶端。被瀏覽器渲染,就可能導(dǎo)致XSS攻擊
  • 反射型XSS:將用戶輸入的存在XSS攻擊的數(shù)據(jù),發(fā)送給服務(wù)端,服務(wù)端并未對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ),也未經(jīng)過任何轉(zhuǎn)義,直接返回給客戶端。被瀏覽器渲染。就可能導(dǎo)致XSS攻擊
  • 純粹發(fā)生在客戶端的XSS攻擊

XSS攻擊演示

假設(shè)用戶輸入的參數(shù)為:

<script>alert(xss)</script>

如果后臺(tái)沒有對(duì)該數(shù)據(jù)做任何過濾直接顯示到前端<div>標(biāo)簽中的話,源代碼就變成了這樣:

<div><script>alert(xss)</script><div>

那么在前端顯示出來的是一個(gè)寫著xss的彈窗,就發(fā)生了xss攻擊

防御方案

我在項(xiàng)目中的主要的防御方案是對(duì)數(shù)據(jù)的過濾,對(duì)于數(shù)據(jù)中的危險(xiǎn)字符進(jìn)行相應(yīng)的轉(zhuǎn)義:

&----->&amp;
<----->&lt;
>----->&gt;
"----->&quot;
'----->&#x27;
/----->&#x2F
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 基礎(chǔ) XSS就是讓瀏覽器執(zhí)行想插入的js。那么如何發(fā)現(xiàn)這些漏洞呢?只要有輸入和輸出的地方都伴隨著漏洞的產(chǎn)生,下面介...
    lotuslwb閱讀 1,040評(píng)論 0 0
  • 跨站腳本(XSS)是web應(yīng)用中的一種典型的計(jì)算機(jī)安全漏洞。XSS允許攻擊者可以在其他用戶瀏覽的web頁面中注入客...
    留七七閱讀 8,313評(píng)論 1 26
  • 淺談XSS—字符編碼和瀏覽器解析原理 XSS簡(jiǎn)介 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascadin...
    Smi1e_閱讀 4,755評(píng)論 2 3
  • 近期公司項(xiàng)目正好被檢查出xss漏洞,一直以來其實(shí)都知道xss漏洞,不過并沒有實(shí)際去寫過,正好這兩天處理了xss漏洞...
    yoqu閱讀 1,588評(píng)論 0 0
  • xss 簡(jiǎn)介 xss 跨站腳本攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascadi...
    zksmile閱讀 27,476評(píng)論 7 36

友情鏈接更多精彩內(nèi)容