XSS漏洞解析(一)

之前寫程序沒有怎麼關注這些網絡安全問題，隨着本身寫的程序愈來愈多，開始關注了網絡安全了。

 

1、什麼是XSS

XSS(Cross-Site Scripting) 跨站腳本是一種常常出如今web應用程序的計算機安全漏洞，一般是程序過濾不足形成的

 

2、XSS攻擊方式以及表現形式

XSS攻擊方式分爲兩種。

一種是反射性攻擊，表現爲主動注入腳本，直接執行代碼

還有一種是持久性的XSS，表現爲把腳本寫入數據庫中，其他用戶打開頁面的時候就會被收到信息盜用。

 

3、它原理是什麼

原理其實很簡單，由於瀏覽器支持dom，js，html等,能夠注入代碼在你的程序中，並執行了代碼，黑客能夠利用提交數據的時候自動獲取你的cookie發送連接到其他的服務地址獲取你的信息，或者讓正常的網頁多執行一段html頁面代碼，不停刷新服務器等....

 

4、如何避免，解決方法是什麼

注入腳本基本上是咱們容許用戶輸入字符串的時候形成的，可是咱們不少狀況下又不能不讓用戶輸入字符串。

方案以下:

　　1.輸入驗證，先後端都須要作處理

　　2.儘可能避免get請求

　　3.服務器作好XSS的過濾器，支持黑白名單支持

　　4.能用session儘可能不用cookie

 

以上方法基本能解決大部分問題了.