web安全-浅谈xss攻防

栏目: 编程工具 · 发布时间: 5年前

内容简介:近来反反复复读了一些xss和csrf攻防的一些文章,大体上读完了《XSS跨站脚本剖析与防御》这本书,之前浅浮的以为xss仅仅需要对用户输入内容进行过滤,然而现在重新审视xss的攻击技巧着实令人眼花缭乱。那到底什么是xss跨站脚本呢?它会造成什么危害?为何它如此流行?它的攻击方式有哪些?作为web开发人员我们能做的有哪些?带着这几个问题,反复测试总结了这篇文章,一方面方便自己以后学习回顾,另一方面希望可以帮助到一直打算了解xss攻防,却又限于网上文章鱼龙混杂,相关书籍有限细细读来也耗时,我相信这篇文章至少能

近来反反复复读了一些xss和csrf攻防的一些文章,大体上读完了《XSS跨站脚本剖析与防御》这本书,之前浅浮的以为xss仅仅需要对用户输入内容进行过滤,然而现在重新审视xss的攻击技巧着实令人眼花缭乱。

那到底什么是xss跨站脚本呢?它会造成什么危害?为何它如此流行?它的攻击方式有哪些?作为web开发人员我们能做的有哪些?

带着这几个问题,反复测试总结了这篇文章,一方面方便自己以后学习回顾,另一方面希望可以帮助到一直打算了解xss攻防,却又限于网上文章鱼龙混杂,相关书籍有限细细读来也耗时,我相信这篇文章至少能够帮你理解上面几个问题。想要深入学习,建议还是去学习 《xss跨站脚本剖析与防御》 ,这本书是邱永华先生所著,阿里首席安全研究员吴翰清作的序,细细读来定能有所收获;

XSS背景与介绍

随着互联网的发展,web2.0时代的兴起,带来的交互模式的发展,现如今更是向融合人工智能的web3.0发展。目前的网站绝大多数都有需要和用户交互的功能,比如电商网站的评论,论坛的发帖,微博网站的转发等等。

正常用户会中规中矩的使用,但是对于黑客他们也许不会循规蹈矩,他们可以通过这些表单提交一些恶意代码,通常是JavaScript(但是绝对不限与此,也包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML)一旦攻击成功后,攻击者可能获得更高的权限(可能的一些操作)、私密的网页内容、会话和cookie等等

不过目前现代浏览器比如chrome,firefox对于表单中的代码会自动检测出xss,从而屏蔽请求,但仍然不是绝对安全的,与此同时不乏有一些浏览器如IE6,7,8并不会做这样的处理(亲测如此,chrome的xss过滤器叫做xssAuditor,IE的xss过滤xssFilter从IE8 beta2才开始);


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

欲罢不能

欲罢不能

[美] 亚当·奥尔特 / 闾佳 / 机械工业出版社 / 2018-4-1 / 59.00元

全面揭秘和解决“行为上瘾”的奠基之作 美国亚马逊分类图书畅销榜第一名 行为上瘾是什么?诱人上瘾的体验是如何设计出来的? 如何远离行为上瘾?如何用行为上瘾做些好事? ◆ 内容简介 ◆ 欢迎来到“行为上瘾”的时代! 我们中近半数人至少有一种“行为上瘾”:无时无刻盯着手机,不断刷朋友圈,通宵追看电视剧集,没日没夜打游戏,频繁查看邮件,用太多时间工作…… 而那些生......一起来看看 《欲罢不能》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

MD5 加密
MD5 加密

MD5 加密工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具