跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式 。
假设页面上有一个表单
<inputtype="text" name="name" value=https://www.isolves.com/it/wlyx/fwq/2019-12-30/"tom"/>
如果,用户输入的不是一个正常的字符串,而是
"/><script>alert("haha")</script><!-
此时,页面变成下面的内容,在输入框 input 的后面带上了一段脚本代码 。
文章插图
【什么是 XSS 攻击】
<input type="text" name="name" value=https://www.isolves.com/it/wlyx/fwq/2019-12-30/"Lusifer"/>
这端脚本程序只是弹出一个消息框,并不会造成什么危害,攻击的威力取决于用户输入了什么样的脚本,只要稍微修改,便可使攻击极具攻击性 。
如何防范 XSS 攻击
- 前端,服务端,同时需要字符串输入的长度限制 。
- 前端,服务端,同时需要对html转义处理 。将其中的 < ,> 等特殊字符进行转义编码 。
推荐阅读
- JSON WEB TOKEN JWT为啥这么流行
- 梦到自己高空坠落没事 梦见高空坠落但是没事考试
- 淘宝代发货是怎么赚钱的 开淘宝店一件代发赚钱吗
- 这些iframe跨域解决方案你需要了解一下,以后不应该再是你的盲区
- 梦见手机掉水里又捞起来了什么意思? 梦见手机掉水里又捞起来了还是好的
- 人死后为什么要火葬 为什么火化后还要土葬
- 梦见自己大龄还单身但是一点也不焦虑 梦见自己大龄还单身忧虑
- 防滑瓷砖顽固污渍用什么能洗掉,防滑瓷砖怎么也洗不干净怎么办
- 阳台钢化窗户玻璃碎了会不会掉,阳台钢化窗户玻璃碎了是什么原因
- 马桶两个排污口好不好,马桶两个排污口是不是必须要封一个