隨著近幾年網際網路的高速發展,資訊保安也成為大家關注的焦點之一,前端領域的安全也不容忽視,其中XSS等就是較常遇到的攻擊手段。
XSS攻擊是跨站指令碼(Cross-Site Scripting)攻擊的英文縮寫,通俗的說就是網頁中被植入了惡意的JS指令碼,當用戶訪問被攻擊頁面後就會執行這些惡意指令碼以達到攻擊目的。
XSS攻擊產生的影響主要是體驗上的和安全上的。體驗上的比如說存在惡意彈窗等,而安全性上它可以獲取到使用者的輸入資料。
XSS攻擊型別多樣,常見的有以下這些:
1、儲存型XSS攻擊(持久型)
即將惡意JS指令碼存入了資料庫,當用戶訪問頁面時從資料庫中讀取到了惡意指令碼,涉及動態頁面較多。
2、反射型XSS攻擊
1、對使用者的輸入做校驗:
使用者的任何輸入都是不可信的,我們需要對使用者的輸入資料做必要的過濾檢查,過濾掉一些惡意敏感的字元。
2、對輸出結果做編碼轉換:
使用者的輸入即使含有惡意JS指令碼,我們在輸出時做轉換讓惡意JS被編碼(編碼後就不再是惡意JS程式碼了)轉換無法直接執行,同樣可以達到防禦的目的。
一旦站點被XSS攻擊了,我們要先定位攻擊源(大部分都是因開發者沒有對使用者輸入資料做必要的過濾和轉換導致的),然後再清理惡意指令碼程式碼。
隨著近幾年網際網路的高速發展,資訊保安也成為大家關注的焦點之一,前端領域的安全也不容忽視,其中XSS等就是較常遇到的攻擊手段。
什麼是XSS攻擊?XSS攻擊是跨站指令碼(Cross-Site Scripting)攻擊的英文縮寫,通俗的說就是網頁中被植入了惡意的JS指令碼,當用戶訪問被攻擊頁面後就會執行這些惡意指令碼以達到攻擊目的。
XSS攻擊產生的影響主要是體驗上的和安全上的。體驗上的比如說存在惡意彈窗等,而安全性上它可以獲取到使用者的輸入資料。
XSS攻擊型別有哪些?XSS攻擊型別多樣,常見的有以下這些:
1、儲存型XSS攻擊(持久型)
即將惡意JS指令碼存入了資料庫,當用戶訪問頁面時從資料庫中讀取到了惡意指令碼,涉及動態頁面較多。
2、反射型XSS攻擊
XSS防禦措施1、對使用者的輸入做校驗:
使用者的任何輸入都是不可信的,我們需要對使用者的輸入資料做必要的過濾檢查,過濾掉一些惡意敏感的字元。
2、對輸出結果做編碼轉換:
使用者的輸入即使含有惡意JS指令碼,我們在輸出時做轉換讓惡意JS被編碼(編碼後就不再是惡意JS程式碼了)轉換無法直接執行,同樣可以達到防禦的目的。
一旦站點被XSS攻擊了,我們要先定位攻擊源(大部分都是因開發者沒有對使用者輸入資料做必要的過濾和轉換導致的),然後再清理惡意指令碼程式碼。