前言:


1.XSS簡介


跨站腳本(cross site script)簡稱為XSS,是一種經(jīng)常出現(xiàn)在web應用中的計算機安全漏洞,也是web中最主流的攻擊方式。

XSS是指惡意攻擊者利用網(wǎng)站沒有對用戶提交數(shù)據(jù)進行轉(zhuǎn)義處理或者過濾不足的缺點,進而添加一些代碼,嵌入到web頁面中去,使別的用戶訪問都會執(zhí)行相應的嵌入代碼。

2.XSS攻擊的危害


1、盜取用戶資料,比如:登錄帳號、網(wǎng)銀帳號等

2、利用用戶身份,讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)等

3、盜竊企業(yè)重要的具有商業(yè)價值的資料

4、非法轉(zhuǎn)賬

5、強制發(fā)送電子郵件

6、網(wǎng)站掛馬

7、控制受害者機器向其它網(wǎng)站發(fā)起攻擊

3.防止XSS解決方案


XSS的根源主要是沒完全過濾客戶端提交的數(shù)據(jù) ,所以重點是要過濾用戶提交的信息。

 將重要的cookie標記為http only, 這樣的話js 中的document.cookie語句就不能獲取到cookie了.
 只允許用戶輸入我們期望的數(shù)據(jù)。 例如:age用戶年齡只允許用戶輸入數(shù)字,而數(shù)字之外的字符都過濾掉。
 對數(shù)據(jù)進行Html Encode 處理: 用戶將數(shù)據(jù)提交上來的時候進行HTML編碼,將相應的符號轉(zhuǎn)換為實體名稱再進行下一步的處理。
 過濾或移除特殊的Html標簽, 例如: <script>, <iframe> , < for <, > for >, &quot for
 過濾js事件的標簽。例如 “onclick=”, “onfocus” 等等。

  哈爾濱品用軟件有限公司致力于為哈爾濱的中小企業(yè)制作大氣、美觀的優(yōu)秀網(wǎng)站,并且能夠搭建符合百度排名規(guī)范的網(wǎng)站基底,使您的網(wǎng)站無需額外費用,即可穩(wěn)步提升排名至首頁。歡迎體驗最佳的哈爾濱網(wǎng)站建設