美國(guó)服務(wù)器搭建網(wǎng)站的用戶(hù)可能經(jīng)常聽(tīng)到關(guān)于XSS攻擊,但可能具體不太了解XSS攻擊的定義,小編本文就來(lái)介紹下美國(guó)服務(wù)器XSS攻擊的定義、類(lèi)型,以及它的防御方式。
美國(guó)服務(wù)器XSS攻擊,全稱(chēng):跨站腳本攻擊,是一種在Web應(yīng)用中的美國(guó)服務(wù)器計(jì)算機(jī)安全漏洞,它允許惡意Web用戶(hù)將代碼植入到提供給其它用戶(hù)使用的頁(yè)面中。
一、美國(guó)服務(wù)器XSS攻擊的類(lèi)型
常見(jiàn)的 美國(guó)服務(wù)器XSS 攻擊有三種:反射型XSS攻擊、DOM-based 型XXS攻擊以及存儲(chǔ)型XSS攻擊。
1)反射型XSS攻擊
反射型 XSS 一般是攻擊者通過(guò)特定手法,如電子郵件,誘使用戶(hù)去訪問(wèn)一個(gè)包含惡意代碼的 URL,當(dāng)受害者點(diǎn)擊這些專(zhuān)門(mén)設(shè)計(jì)的鏈接的時(shí)候,惡意代碼會(huì)直接在受害者美國(guó)服務(wù)器主機(jī)上的瀏覽器執(zhí)行。反射型XSS通常出現(xiàn)在網(wǎng)站的搜索欄、用戶(hù)登錄口等地方,常用來(lái)竊取客戶(hù)端 Cookies 或進(jìn)行釣魚(yú)欺騙。
2)存儲(chǔ)型XSS攻擊
存儲(chǔ)型XSS攻擊也叫持久型XSS,主要將XSS代碼提交存儲(chǔ)在服務(wù)器端,如數(shù)據(jù)庫(kù),內(nèi)存,文件系統(tǒng)等,這樣下次請(qǐng)求目標(biāo)頁(yè)面時(shí)不需要再提交XSS代碼,當(dāng)目標(biāo)用戶(hù)訪問(wèn)該頁(yè)面獲取數(shù)據(jù)時(shí),XSS代碼會(huì)從美國(guó)服務(wù)器主機(jī)解析之后加載出來(lái),返回到瀏覽器做正常的HTML和JS解析執(zhí)行,XSS攻擊就發(fā)生了。
存儲(chǔ)型 XSS 一般出現(xiàn)在網(wǎng)站留言、評(píng)論、博客日志等交互處,惡意腳本存儲(chǔ)到客戶(hù)端或者服務(wù)端的數(shù)據(jù)庫(kù)中。
3)DOM-based 型XSS攻擊
基于 DOM 的 XSS 攻擊是指通過(guò)惡意腳本修改頁(yè)面的 DOM 結(jié)構(gòu),是單純發(fā)生在客戶(hù)端的攻擊。DOM 型 XSS 攻擊中,取出和執(zhí)行惡意代碼由瀏覽器端完成,屬于前端 JavaScript 自身的安全漏洞。
二、XSS攻擊的防御方式
1)對(duì)美國(guó)服務(wù)器輸入內(nèi)容的特定字符進(jìn)行編碼,例如表示 html標(biāo)記的 < > 等符號(hào)。
2)對(duì)重要的 Cookie設(shè)置 http Only, 防止客戶(hù)端通過(guò)document cookie讀取 cookie,頭由服務(wù)端設(shè)置。
3)將不可信的值輸出 URL參數(shù)之前,進(jìn)行 URL Encode操作,而對(duì)于從 URL參數(shù)中獲取值一定要進(jìn)行格式檢測(cè),比如需要的值URL,就判讀是否滿(mǎn)足URL格式。
4)不要使用 Eval來(lái)解析并運(yùn)行不確定的數(shù)據(jù)或代碼。
5)后端接口做到關(guān)鍵字符過(guò)濾的問(wèn)題。
以上就是關(guān)于XSS攻擊的類(lèi)型以及防御方式,希望能幫助到有需要的美國(guó)服務(wù)器用戶(hù),美國(guó)服務(wù)器用戶(hù)可以收藏方便以后查看哦。
關(guān)注美聯(lián)科技,了解更多IDC資訊!
