web漏洞之xss(學習記錄)

xss又名跨站腳本攻擊,是一種注入攻擊,當web應用對用戶輸入過濾不嚴格,攻擊者寫入惡意的腳本代碼(HTML、JavaScript)到網頁中時,若是用戶訪問了含有惡意代碼的頁面,惡意腳本就會被瀏覽器解析執行致使用戶被攻擊。web

常見的危害有:cookie竊取,session劫持,釣魚攻擊,蠕蟲,ddos等。apache

解決辦法:後端

1.更新較高版本的jQuery瀏覽器

2.過濾關鍵字,同時注意header,host(建議正則),轉義字符,如「<」轉義字符是&lt;"<"的轉義字符爲&gt;   ,也可使用org.apache.commons.lang.StringEscapeUtils.escapeHtml(str)來轉義。缺點是入庫時候,它的長度要比請求時候的長度要長。注意某些場景下,可能須要將其進行反轉義。cookie

3.先後端同時判斷正誤,限制請求數據。session

(作記錄學習用)xss

相關文章
相關標籤/搜索