XSS跨站腳本攻擊

爲何叫XSS？

跨站腳本（cross site script）爲了不和樣式css混淆，故簡稱xss。

XSS是什麼？

xss是一種常常出如今web應用中的計算機安全漏洞，也是最主流的攻擊方式。

 xss是指惡意攻擊者利用網站沒有對用戶提交的數據進行轉義處理或過濾不足的缺點，進而添加一些代碼，嵌入到web頁面中去；使別的用戶訪問都會執行相應的嵌入代碼，從而盜取用戶資料、利用用戶身份進行某些動做或者對訪問者進行病毒侵害的一種攻擊方式。

xss攻擊的危害有哪些？

1.盜取各種用戶帳號；如：機器登陸帳號、用戶網銀帳號、各種管理員帳號...

2.控制企業數據；包括讀取、篡改、添加、刪除企業敏感數據能力

3.盜竊企業具備商業價值的重要資料

4.非法轉帳

5.強制發送電子郵件

6.網站掛馬

7.控制受害者機器向其餘網站發起攻擊

爲何會出現xss攻擊？

主要緣由是：過於信任客戶端提交的數據

xss根源就是沒徹底過濾客戶端提交的數據

細節分析：客戶端提交的數據本就是應用須要的，可是惡意攻擊者利用網站對客戶端提交的數據的信任，在數據中插入一些符號以及js代碼，那這些數據將會成爲應用代碼中的一部分，進而攻擊者就能夠進行攻擊。

怎麼避免出現xss攻擊？

不要信任任何客戶端提交的數據；只要是客戶端提交的數據信息都應該先作過濾處理再進行下一步操做。

xss攻擊分類（稍微瞭解便可）

1.反射型xss攻擊

2.存貯型xss攻擊

3.DOMBasedXSS（基於dom的跨站點腳本攻擊）

 

本文只對xss攻擊作簡單的介紹，具體細節可參考這位大神的博文：http://www.javashuo.com/article/p-exdpvymp-h.html