>운영 및 유지보수 >안전 >XSS 분류 및 방어 조치

XSS 분류 및 방어 조치

王林
王林앞으로
2020-06-17 17:27:093290검색

XSS 분류 및 방어 조치

XSS는 세 가지 범주로 나뉩니다.

  • 반영된 XSS(비영구) 요청 시 XSS 코드가 URL에 나타나고 서버가 구문 분석하고 응답합니다. XSS 코드로 응답 내용과 함께 브라우저로 다시 전송되고 마지막으로 브라우저는 XSS 코드를 구문 분석하고 실행합니다. 이 프로세스는 반사와 유사하므로 반사형 XSS라고 합니다.

  • 저장된 XSS(영구) 저장된 XSS와 반영된 XSS의 유일한 차이점은 제출된 코드가 서버측(데이터베이스, 메모리, 파일 시스템 등)에 저장되므로 제출할 필요가 없다는 것입니다. 다음에 대상 페이지 XSS 코드를 요청할 때 다시 한 번.

  • DOM XSS(클라이언트) DOM XSS, 반영된 XSS 및 저장된 XSS의 차이점은 DOM XSS의 코드는 서버의 참여를 요구하지 않으며 XSS를 트리거하는 것은 브라우저 측의 DOM 구문 분석에 의존합니다. 전적으로 클라이언트의 문제입니다.

XSS 방어 조치:

  • 필터 이스케이프 입력 및 출력

  • 문자열이 사용자 입력과 관련이 없다고 판단되지 않는 한 eval, new Function 및 기타 방법을 사용하여 문자열을 실행하지 마세요.

  • 사용 쿠키의 httpOnly 속성과 이 속성의 쿠키 필드는 js에서 읽고 쓸 수 없습니다

  • innerHTML 및 document.write를 사용할 때 사용자가 데이터를 입력하면 객체 필터링 및 변환을 위해서는 주요 문자가 필요합니다. Yi

추천 튜토리얼: 웹 서버 보안

위 내용은 XSS 분류 및 방어 조치의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 juejin.im에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제