XSS

1、Xss的作用体现在哪里?

Xss产生的原因,如何避免,如何利用?
Xss注入脚本之后,会持久地显示在网页中么?如何能持久地显示,原理是什么?为什么其他用户也会受到影响。

Xss分为反射式和持久式,反射式是指破坏者针对于网址的漏洞,加上自己设计的参数,形成一个特有的链接,通过某种方式发送给用户,用户点击之后,就会中招。试想,我根据xxx.com的xss漏洞,设计一个链接,当用户访问这个链接的时候,会执行一个脚本,将当前用户的cookie发送到指定的邮箱中。

利用反射式,生成的链接会异常的长,而且掺杂了很多script语句,用户很难中招。解决方法是对其参数部分进行加密,而浏览器能够是被这种加密

持久式Xss一般是通过评论、博客等渠道注入到网站中,会对Web服务器造成影响,其他用户一旦访问到被注入了js的页面,就会中招。

xss在注入的过程中,很可能会遭到转义,这时有一些方法可以避免被转义,
'><xss a='
所有的输入就会变成
INPUT type="text" value=''>

2、如何来发掘xss漏洞?

数据交互的地方容易产生跨站脚本

3、为什么cookie设置HttpOnly可以防止Xss攻击

因为设置了HttpOnly,cookie只能由后端访问,前端脚本无法访问或操作Cookie。如何设置HttpOnly

posted @ 2016-10-15 12:03  清泉白石  阅读(164)  评论(0编辑  收藏  举报