(图转自,翻译整理by )
关于跨站脚本攻击(XSS),你应该知道的知识。
XSS全称(Cross Site )跨站脚本攻击, 是最常见的web应用程序安全漏洞之一,是一种代码注入型的攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 、等,进而伪造登录,非法获取你的数据。
要注意区别:反射型XSS 和存储型XSS 的区别。反射型XSS 一般是通过构造URL的方式传入带有恶意代码脚本的非法参数,注入的脚本会立即执行;而存储型XSS 则是提交到目标网站的数据库中,随着时间的推移而持续存在jsonp,构成长期威胁。还有一种是DOM型XSS,取出和执行恶意代码由浏览器端完成jsonp,属于前端 自身的安全漏洞。前两者则属于服务端的安全漏洞。
想象一下这种情况:一个狡猾的黑客利用 XSS 偷偷地从用户浏览器中获取用户凭据,例如 ,可能导致未经授权的访问和数据泄露。这是一个令人不寒而栗的现实。
那么,应当如何防范XSS攻击呢?
包括但不限于:
1、纯前端渲染(例如 Vue 前后端分离,在不使用 v-html 情况下,Vue会自动转义html);
2、转义 HTML(不要相信客户端的任何输入,去除脚本标签,或转义,不给恶意代码运行的机会);
3、针对 jsonp 回调函数,需要设置白名单;
4、输入内容长度控制、内容安全策略(CSP)、定期更新和补丁等;
#跨站脚本攻击(XSS) #漏洞 #攻击向量 #缓解策略 #网络防御 #数据安全
限时特惠:本站持续每日更新海量各大内部创业课程,一年会员仅需要98元,全站资源免费下载
点击查看详情
站长微信:Jiucxh
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
