XSS分為三類:
#反射型XSS(非持久型)發出請求時,XSS程式碼出現在URL中,作為輸入提交到伺服器端,伺服器端解析後回應,XSS程式碼隨回應內容一起傳回給瀏覽器,最後瀏覽器解析執行XSS程式碼。這個過程像是一次反射,故叫反射型XSS。
儲存型XSS(持久型)儲存型XSS和反射型XSS的差異僅在於,提交的程式碼會儲存在伺服器端(資料庫,內存,檔案系統等),下次請求目標頁面時不用再提交XSS代碼。
DOM XSS(客戶端)DOM XSS和反射型XSS、儲存型XSS的差異在於DOM XSS的程式碼並不需要伺服器參與,觸發XSS靠的是瀏覽器端的DOM解析,完全是客戶端的事情。
XSS的防禦措施:
#過濾轉義輸入輸出
避免使用eval、new Function等執行字串的方法,除非確定字串和使用者輸入無關
#使用cookie的httpOnly屬性,加上了這個屬性的cookie字段, js是無法進行讀寫的
使用innerHTML、document.write的時候,如果資料是使用者輸入的,那麼需要物件關鍵字元進行過濾與轉義
#推薦教學:web伺服器安全性
#以上是XSS分類及防禦措施的詳細內容。更多資訊請關注PHP中文網其他相關文章!
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
VSCode Windows 64位元 下載
微軟推出的免費、功能強大的一款IDE編輯器
MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。
SublimeText3 Linux新版
SublimeText3 Linux最新版
DVWA
Damn Vulnerable Web App (DVWA) 是一個PHP/MySQL的Web應用程序,非常容易受到攻擊。它的主要目標是成為安全專業人員在合法環境中測試自己的技能和工具的輔助工具,幫助Web開發人員更好地理解保護網路應用程式的過程,並幫助教師/學生在課堂環境中教授/學習Web應用程式安全性。 DVWA的目標是透過簡單直接的介面練習一些最常見的Web漏洞,難度各不相同。請注意,該軟體中
