XSS分类及防御措施

XSS分类及防御措施,第1张

XSS分类及防御措施

XSS分为三类:

  • 反射型XSS(非持久型)发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。

  • 存储型XSS(持久型)存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。

  • DOM XSS(客户端)DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与,触发XSS靠的是浏览器端的DOM解析,完全是客户端的事情。

XSS的防御措施:

  • 过滤转义输入输出

  • 避免使用eval、new Function等执行字符串的方法,除非确定字符串和用户输入无关

  • 使用cookie的httpOnly属性,加上了这个属性的cookie字段,js是无法进行读写的

  • 使用innerHTML、document.write的时候,如果数据是用户输入的,那么需要对象关键字符进行过滤与转义

推荐教程:web服务器安全

以上就是XSS分类及防御措施的详细内容,

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/708851.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-04-24
下一篇 2022-04-24

发表评论

登录后才能评论

评论列表(0条)

保存