XSS概述
XSS的全称是Cross Site Script,就是跨站点脚本攻击,黑客在网站站点的某个网页中中注入以诶些html+javascript的恶意脚本和代码,然后用户在访问那个网站的时候,他就会注入的恶意脚本就会运行,比如通过恶意脚本获取你的cookie,然后通过cookie模拟你的操作等。
反射型XSS
反射性XSS就是让用户点击一个URL连接,在URL连接中就会嵌入恶意脚本,当你点击这个URL连接时,就会执行对应的恶意脚本。
主要流程如上图所示:首先用户通过浏览器访问一个网站时,点击了黑客发布的广告图片,然后就会执行一段恶意脚本,恶意脚本可以获取用户的cookie,或者其他信息,然后就可以以这个用户的名义去执行操作。
其他网站预防的方式可以通过:HttpOnly的方式,在浏览器存放的cookie设置一个HttpOnly属性,这样的话,在浏览器执行的js脚本是被禁止访问HttpOnly cookie的,他就无法做窃取存储在浏览器中的cookies了
存储型xss漏洞
存储型XSS需要把利用代码存储在数据库或者文件中,当web程序读取利用代码时,会在页面中执行利用代码。
大体流程如上所示:黑客通过发布评论(包含恶意脚本),然后网站将评论保存到数据库中,然后当其他用户访问该文章是,就会返回恶意代码,在浏览器运行,就会造成XSS攻击,一般的解决方案就是对一些敏感词进行处理,过滤
解决方案就是对一些敏感词进行处理,过滤