XSS攻击与防御
一、XSS攻击原理:
XSS攻击是利用网站的漏洞,例如用户输入之类的post数据到服务器,服务器正常保存,输出到客户端,利用用户端和服务端代码漏洞,没有检测机制,输入恶意代码给服务器,服务器返回之后,客户端执行了这个恶意代码。
简单的来说就是:想尽一切办法,让客户端执行我的js代码
举例:
网页源码:
1 <form action="" method="get"> 2 <input type="text" name="xss_input"> 3 <input type="submit"> 4 </form> 5 6 <?php 7 $xss = $_GET['xss_input']; 8 echo '你输入的字符为<br>'.$xss; 9 ?>
正常的流程是:用户输入,然后php获取输入之后,显示给客户端。但是如果客户输入的是<script>alert('da')</script>,那就是相当于返回来的是<script>alert('da')</script>,然后就会被浏览器解析的时候直接执行
