跨站脚本攻击有几种,应该怎样做好防护?

Admin 2021-12-18 群英技术资讯 2892 次浏览

    跨站脚本攻击有几种?跨站脚本攻击也就是XSS攻击,是比较常见的攻击,主要有持久型跨站、非持久型跨站和DOM跨站这三种类型。那么我们该如何做好防护呢?下面我们一起来看看。

一、跨站脚本攻击类型:

    (1)持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据库)。

    (2)非持久型跨站:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。

    (3)DOM跨站(DOM XSS):DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。

    (如果您想了解更多相关问题,可以访问php中文网。)

二、如何预防?

    从网站开发者角度,如何防护XSS攻击?

    对XSS最佳的防护应该结合以下两种方法:

    1、验证所有输入数据,有效检测攻击;

    2、对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。

    具体如下:

    输入验证:某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。

    输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。

    明确指定输出的编码方式:不要允许攻击者为你的用户选择编码方式(如ISO 8859-1或 UTF 8)。

    注意:黑名单验证方式的局限性:仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字),很容易被XSS变种攻击绕过验证机制。

    警惕规范化错误:验证输入之前,必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。

    从网站用户角度,如何防护XSS攻击?

    当你打开一封Email或附件、浏览论坛帖子时,可能恶意脚本会自动执行,因此,在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用IE浏览器,将安全级别设置到“高”。

    这里需要再次提醒的是,XSS攻击其实伴随着社会工程学的成功应用,需要增强安全意识,只信任值得信任的站点或内容。可以通过一些检测工具进行xss的漏洞检测。针对xss的漏洞带来的危害是巨大,如有发现,应立即修复漏洞。

    以上就是跨站脚本攻击的相关介绍,了解跨站脚本攻击对做好防御有一定的帮助,上述防御方法大家可以了解看看,希望对大家有帮助,想要了解更多可以继续浏览群英网络其他相关的文章。

文本转载自PHP中文网

群英智防CDN,智能加速解决方案
标签: 跨站脚本攻击

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。

猜你喜欢

成为群英会员,开启智能安全云计算之旅

立即注册
专业资深工程师驻守
7X24小时快速响应
一站式无忧技术支持
免费备案服务
免费拨打  400-678-4567
免费拨打  400-678-4567 免费拨打 400-678-4567 或 0668-2555555
在线客服
微信公众号
返回顶部
返回顶部 返回顶部
在线客服
在线客服