XSS学习笔记

一、XSS漏洞的定义

XSS又叫CSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者往Web页面里面插入恶意JS代码,当用户浏览该页面时,嵌入其中的Web里面的JS代码会被执行,从而达到恶意的特殊目的。

二、XSS漏洞的原理

利用各种方法,向Web页面插入JS代码,让JS代码可以被浏览器执行,访问该页面的用户则被攻击

三、XSS漏洞的分类

  • 反射型

      经过后端,不经过数据库

  • 存储型

     经过后端,经过数据库

  • DOM型

      不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的

XSS漏洞修复方法

HTML实体编码

使用白名单过滤掉用户输入的恶意字符

根据场景对症下药

(暂时没有一劳永逸的修复方法)

posted @ 2018-12-25 13:44  我吃大西瓜  阅读(109)  评论(0编辑  收藏  举报