Was ist ein Cross-Site-Scripting-Angriff?

Cross-Site-Scripting-Angriff, auch bekannt als XSS, bezieht sich auf die Nutzung von Website-Schwachstellen, um in böswilliger Absicht Informationen von Benutzern zu stehlen. Cross-Site-Scripting-Angriffe werden in drei Kategorien unterteilt: 1. Persistente Cross-Site; 2. Nicht-persistente Cross-Site; 3. DOM-Cross-Site; Unter diesen ist anhaltender Cross-Site-Schaden die direkteste Art von Schaden.

Definition:

Cross-Site-Scripting-Angriff (auch bekannt als XSS) bezieht sich auf die Ausnutzung von Website-Schwachstellen, um böswillig Informationen von Benutzern zu stehlen.

Typ:

(1) Persistent Cross-Site: Die direkteste Art von Schaden, der Cross-Site-Code wird auf dem Server (Datenbank) gespeichert.

(2) Nicht persistente Cross-Site: Reflektive Cross-Site-Scripting-Schwachstelle, der häufigste Typ. Der Benutzer greift auf den serverübergreifenden Link zu und gibt den standortübergreifenden Code zurück.

(3) DOM Cross-Site (DOM XSS): DOM (Dokumentobjektmodell Dokumentobjektmodell), Sicherheitsprobleme, die durch die Verarbeitungslogik des Client-Skripts verursacht werden.

Einführung in die Verteidigungsregeln:

1. Fügen Sie keine nicht vertrauenswürdigen Daten an zulässigen Orten ein.

2. Dekodieren Sie HTML, bevor Sie nicht vertrauenswürdige Daten in den HTML-Elementinhalt einfügen

3. Dekodieren Sie Attribute, bevor Sie nicht vertrauenswürdige Daten in HTML einfügen.

5. Führen Sie eine CSS-Dekodierung durch, bevor Sie nicht vertrauenswürdige Daten einfügen Daten in HTML-Stilattributwerte umwandeln;

6. Führen Sie eine URL-Dekodierung durch, bevor Sie nicht vertrauenswürdige Daten in HTML-URL-Attribute einfügen.

Wenn Sie weitere verwandte Probleme erfahren möchten, besuchen Sie

php Chinesische Website

.

Das obige ist der detaillierte Inhalt vonWas ist ein Cross-Site-Scripting-Angriff?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!