教育行業(yè)A股IPO第一股(股票代碼 003032)

全國咨詢/投訴熱線:400-618-4000

問答>軟件測試>XSS攻擊是什么意思?

XSS攻擊是什么意思?

來源傳智教育2022年05月31日 14時(shí)36分27秒

  XSS的全稱是CrossSitescriptin,它是Web應(yīng)用系統(tǒng)最常見的安全漏洞之一,它主要源于Web應(yīng)用程序疏于對用戶輸入的檢查和過濾。攻擊者利用XSS漏洞注入惡意代碼到網(wǎng)站中去,這個惡意代碼可以是HTML代碼或者javascript腳本。一旦有用戶瀏覽網(wǎng)站,這串惡意代碼就會立即執(zhí)行,造成攻擊的效果。

  最重要的防范措施就是對用戶的輸入進(jìn)行檢查和過濾,常見的有POST數(shù)據(jù)、HTTP協(xié)議頭、查詢關(guān)鍵字和URL,安全工程師可以指定符合預(yù)期的內(nèi)容,不在條件范圍內(nèi)的內(nèi)容全部剔除。另外,攻擊的人向HTML標(biāo)簽或者屬性中插入不可新數(shù)據(jù)時(shí),要對這些數(shù)據(jù)進(jìn)行相應(yīng)的編碼處理。Web安全人員可以將重要的Cookie標(biāo)記為httponly,如此一來javascript腳本就不能訪問這個Cookie,避免了攻擊者利用javascript腳本獲取Cookie。

和我們在線交談!