xss攻击类型都有哪些,xss防御有何方办法
发布时间:2023-05-15 13:10:29 所属栏目:安全 来源:
导读: XSS分为三类:
反射型XSS(非持久型)发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个转变过程看上去像磁
反射型XSS(非持久型)发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个转变过程看上去像磁
|
XSS分为三类: 反射型XSS(非持久型)发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个转变过程看上去像磁场的一次反射,故叫磁场反射型XSS。 存储型XSS(持久型)存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),在下次要求目标网页时,不再需要提交XSS码。 DOM XSS(客户端)DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。 xss防御措施 下列规则旨在防止所有发生在应用程序上的XSS攻击,虽然这些规则不允许任意向HTML文档放入不可信数据,不过基本上也涵盖了绝大多数常见的情况。 1、不应在允许的位置插入不可信的数据。 2、在HTML元素内容插入不可信数据前对HTML解码。 3、在向HTML常见属性插入不可信数据前进行属性解码。 4、在向HTML JavaScript Data Values插入不可信数据前,进行JavaScript解码。 5、在向HTML 样式属性值插入不可信数据前,进行CSS解码。 6、在向HTML URL属性插入不可信数据前,进行URL解码。 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
