Qu'est-ce qu'une attaque de script intersite ?

L'attaque par script intersite, également connue sous le nom de XSS, fait référence à l'utilisation de vulnérabilités de sites Web pour voler de manière malveillante des informations aux utilisateurs. Les attaques de type cross-site scripting sont divisées en trois catégories : 1. Cross-site persistant 2. Non-persistant cross-site 3. DOM cross-site ; Parmi eux, les dommages persistants entre sites constituent le type de préjudice le plus direct.

Définition :

L'attaque par script intersite (également connue sous le nom de XSS) fait référence à l'exploitation des vulnérabilités d'un site Web pour voler de manière malveillante des informations aux utilisateurs.

Type :

(1) Cross-site persistant : Le type de dommage le plus direct, le code cross-site est stocké dans le serveur (base de données).

(2) Cross-site non persistant : vulnérabilité de cross-site scripting réfléchissante, le type le plus courant. L'utilisateur accède au lien serveur-cross-site et renvoie le code cross-site.

(3) DOM cross-site (DOM XSS) : DOM (document object model document object model), problèmes de sécurité causés par la logique de traitement du script client.

Introduction aux règles de défense :

1. N'insérez pas de données non fiables dans des emplacements autorisés

2.

3. Effectuez le décodage des attributs avant d'insérer des données non fiables dans les attributs HTML courants ;

4. Effectuez le décodage JavaScript avant d'insérer des données non fiables dans les valeurs de données HTML JavaScript

5. insérer des données non fiables dans les valeurs d'attribut de style HTML ;

6. Effectuez le décodage d'URL avant d'insérer des données non fiables dans les attributs d'URL HTML

Si vous souhaitez en savoir plus sur les problèmes connexes, vous pouvez visiter Site Web chinois php

.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!