6.XSS攻击方式及防御措施
一.前端XSS攻击分类
1.什么是XSS攻击
XSS允许恶意的web用户将代码植入到提供给其他用户使用的页面中
2.XSS分类
-
反射型(非持久型)XSS
-
存储型(持久型)XSS
-
DOM-Basedx型 XSS
(1)反射型XSS
-
攻击方式:诱导用户点击率一些带恶意脚本参数的URL,而服务器直接使用了恶意脚本并返回了结果页,从而导致恶意代码在浏览器执行
(2)持久型XSS
-
攻击方式:将恶意代码上传或存储到了漏洞服务器上,用户访问页面时,页面中包含了恶意脚本
(3)DOM-Basedx型XSS
-
攻击方式:由于客户端JavaScript脚本修改页面DOM结构时(修改文本、重绘、重排)引起浏览器DOM解析所造成的一种漏洞攻击
二.XSS攻击防范措施
1.后台设置Cookie属性
-
后台设置Cookie的httpOnly属性,让客户端脚本无法访问cookie的信息
2.后台过滤数据
-
判断输入格式,只允许通过特定格式的字符
-
收到数据时过滤危险字符
-
过滤与转义需前端与服务器配合使用