網絡安全—xss

1.xss的攻擊原理

須要瞭解 Http cookie ajax,Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面裏插入惡意html標籤或者javascript代碼。好比：攻擊者在論壇中放一個看似安全的連接，騙取用戶點擊後，竊取cookie中的用戶私密信息；或者攻擊者在論壇中加一個惡意表單，當用戶提交表單的時候，卻把信息傳送到攻擊者的服務器中，而不是用戶本來覺得的信任站點

2.攻擊方式，防範Xss

• 反射型

就是將帶有攻擊性的XSS 代碼放入到URL中，做爲參數提交到服務器，也就是相似Get方式提交表單，服務器響應以後，XSS代碼隨響應內容一塊兒傳回給瀏覽器，最後瀏覽器解析執行XSS 代碼，這個過程就叫作反射性XSS。
常常經過這種方式 植入廣告--

• 存儲型

存儲型相似於post的提交的方式，提交到服務器端（數據庫，內訓，文件系統==）

• Dom XSS

3.XSS的防範措施

首先代碼裏對用戶輸入的地方和變量都須要仔細檢查長度和對」<」,」>」,」;」,」’」等字符作過濾；其次任何內容寫到頁面以前都必須加以encode，避免不當心把html tag 弄出來。這一個層面作好，至少能夠堵住超過一半的XSS 攻擊

• 編碼

encode 編碼，entity

• 過濾
  用正則過濾一些不合法的輸入，好比dom 的相關屬性，onerror，onclick,移除用戶上傳的style，script節點，iframe，link節點等等。這樣的會被注入廣告，還有一些連接，鼠標通過，觸發一些CSRF 攻擊。他們都有執行樣式和腳本的執行。
• 校訂
  避免直接對html entity解碼
  DOM parse 轉換（整個字符串解析成DOM字符串，當文本處理），校訂不配對的DOM標籤

詳細內容請參考,這片入門文章寫的不錯的哦！