xss攻击及防御
1.Cross Site Scripting跨站脚本攻击,利用js和DOM攻击。
盗用cookie,获取敏感信息破坏正常页面结构,插入恶意内容(广告..)劫持前端逻辑
2.分为反射型攻击和存储型攻击。
反射型攻击:XSS代码出现在URL中,作为输入提交到服务器端,服务器解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。
存储型攻击:提交的代码会存储在服务器端(数据库,内存,文件系统等)
3.如何防御:
1.浏览器自带防御 启用XSS过滤
2.CSP: Content Security Policy CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只 需要配置规则,如何拦截是由浏览器自己实现的.
3.编码转义,对用户输入的数据进行HTML Entity编码.
4.过滤,过滤掉不合法输入,保证安全
5.HttpOnly Cookie,Web应 用程序在设置cookie时,将其 属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户 cookie信息。