首頁 >運維 >安全 >跨站腳本攻擊xss包含哪三大類型

跨站腳本攻擊xss包含哪三大類型

王林
王林原創
2020-06-28 16:48:5613111瀏覽

跨站腳本攻擊xss的三大類型:1、持久型跨站;2、非持久型跨站;3、DOM跨站。持久型跨站是最直接的危害類型,跨站程式碼儲存在伺服器;非持久型跨站是反射型跨站腳本漏洞,這是最常見的類型。

跨站腳本攻擊xss包含哪三大類型

一、跨站腳本攻擊類型:

(1)持久型跨站:最直接的危害類型,跨站程式碼存儲在伺服器(資料庫)。

(2)非持久型跨站:反射型跨站腳本漏洞,最普遍的型別。使用者存取伺服器-跨站連結-返回跨站代碼。

(3)DOM跨站(DOM XSS):DOM(document object model文件物件模型),客戶端腳本處理邏輯所導致的安全性問題。

(如果您想了解更多相關問題,可以存取php中文網。)

二、如何預防?

從網站開發者角度,如何防護XSS攻擊?

對XSS最佳的防護應該結合以下兩種方法:

1、驗證所有輸入數據,有效偵測攻擊;

2、對所有輸出資料進行適當的編碼,以防止任何已成功注入的腳本在瀏覽器端運行。

具體如下:

輸入驗證:某個資料被接受為可被顯示或儲存之前,使用標準輸入驗證機制,驗證所有輸入資料的長度、類型、語法以及業務規則。

輸出編碼:資料輸出前,確保使用者提交的資料已被正確進行entity編碼,建議對所有字元進行編碼而不僅限於某個子集。

明確指定輸出的編碼方式:不要允許攻擊者為你的使用者選擇編碼方式(如ISO 8859-1或 UTF 8)。

注意:黑名單驗證方式的限制:僅僅尋找或取代一些字元(如"<" ">"或類似"script"的關鍵字),很容易被XSS變種攻擊繞過驗證機制。

警惕規範化錯誤:驗證輸入之前,必須進行解碼及規範化以符合應用程式目前的內部表示方法。請確定應用程式對同一輸入不做兩次解碼。

從網站使用者角度,如何防護XSS攻擊?

當你開啟一封Email或附件、瀏覽論壇貼文時,可能惡意腳本會自動執行,因此,在做這些操作時一定要特別謹慎。建議在瀏覽器設定中關閉JavaScript。如果使用IE瀏覽器,將安全等級設定到「高」。

這裡需要再次提醒的是,XSS攻擊其實伴隨著社會工程學的成功應用,需要增強安全意識,只信任值得信任的網站或內容。可以透過一些檢測工具進行xss的漏洞檢測。針對xss的漏洞帶來的危害是巨大,如有發現,應立即修復漏洞。

以上是跨站腳本攻擊xss包含哪三大類型的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn