1. 程式人生 > >web漏洞之xss(學習記錄)

web漏洞之xss(學習記錄)

xss又名跨站指令碼攻擊,是一種注入攻擊,當web應用對使用者輸入過濾不嚴格,攻擊者寫入惡意的指令碼程式碼(HTML、JavaScript)到網頁中時,如果使用者訪問了含有惡意程式碼的頁面,惡意指令碼就會被瀏覽器解析執行導致使用者被攻擊。

常見的危害有:cookie竊取,session劫持,釣魚攻擊,蠕蟲,ddos等。

解決辦法:

1.更新較高版本的jQuery

2.過濾關鍵字,同時注意header,host(建議正則),轉義字元,如“<”轉義字元是&lt;"<"的轉義字元為&gt;   ,也可以使用org.apache.commons.lang.StringEscapeUtils.escapeHtml(str)來轉義。缺點是入庫時候,它的長度要比請求時候的長度要長。注意某些場景下,可能需要將其進行反轉義。

3.前後端同時判斷正誤,限制請求資料。