xss攻击类型都有哪些,xss防御有啥方法?
发布时间:2023-04-15 10:40:12 所属栏目:安全 来源:
导读: XSS分为三类:
反射式XSS (非持久性)当用户请求一个要求时,它会出现在网站的主页上,然后被提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一
反射式XSS (非持久性)当用户请求一个要求时,它会出现在网站的主页上,然后被提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一
|
XSS分为三类: 反射式XSS (非持久性)当用户请求一个要求时,它会出现在网站的主页上,然后被提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射XSS。 存储型XSS(持久型)存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。 DOM XSS(客户端)DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。 xss防御措施 下列规则旨在防止所有发生在应用程序上的XSS攻击,虽然这些规则不允许任意向HTML文档放入不可信数据,不过基本上也涵盖了绝大多数常见的情况。 1、不要在允许位置插入不可信数据。 2、在HTML元素内容插入不可信数据前对HTML解码。 3、在向这些HTML常见文档的属性元素插入任何不可信数据前必须进行属性元素的解码。 4、在向HTML JavaScript Data Values插入不可信数据前,进行JavaScript解码。 5、在HTML 样式属性值插入不可信数据前,进行CSS解码。 6、在HTML URL属性插入不可信数据前,进行URL解码。 现在大家对于XSS攻击类型及防御方法应该都有所了解了,上述方法有一定的参考价值,需要的朋友可以了解看看,希望大家阅读完这篇文章能有所收获。在xss攻击中,有一种名为“自动爬虫”的技术,它可以通过网络上的漏洞进行传播,利用这种技术,攻击者可以轻松获取用户的敏感信息。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
