1、什么是XSS
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入当中Web里面的html代码会被运行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,由于其被动且不好利用,所以很多人常呼略其危害性。
跨站脚本攻击最大的魅力是通过HTML注入劫持用户的浏览器,随意构造用户当前浏览的HTML内容,甚至能够模拟用户当前的操作。
XSS 是怎样发生的呢?
假如有以下一个textbox
<input type="text" name="address1" value="value1from">
value1from是来自用户的输入,假设用户不是输入value1from,而是输入"/><script>alert(document.cookie)</script><!- 那么就会变成
<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">
嵌入的JavaScript代码将会被运行。
或者用户输入的是
"onfocus="alert(document.cookie) 那么就会变成
<input type="text" name="address1" value="" onfocus="alert(document.cookie)">
事件被触发的时候嵌入的JavaScript代码将会被运行。
攻击的威力,取决于用户输入了什么样的脚本。
XSS之所以会发生, 是由于用户输入的数据变成了代码。 所以我们须要对用户输入的数据进行HTML Encode处理。 将当中的"中括号", “单引號”,“引號” 之类的特殊字符进行编码。
XSS 漏洞修复
原则: 不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中
- 将重要的cookie标记为http only, 这种话Javascript 中的document.cookie语句就不能获取到cookie了.
- 仅仅同意用户输入我们期望的数据。 比如: 年龄的textbox中,仅仅同意用户输入数字。 而数字之外的字符都过滤掉。
- 对数据进行Html Encode 处理
- 过滤或移除特殊的Html标签, 比如: <script>, <iframe> , < for <, > for >, " for
- 过滤JavaScript 事件的标签。比如 "onclick=", "onfocus" 等等。
防止XSS,主要是:
一、用户自己
用户可以忽略一个站点到还有一个站点的链接:比方说,假设A站点链接到somerandomsite.com/page,那么你假设先要上这个站点,最好不要去直接点击该链接,而是通过搜索功能去查找该站点。这样的方法可有效防止嵌入在链接网址中的XSS攻击,可是这样的方法用起来不太方便,并且当两个站点共享内容时就没办法用了。第二种方法是在你的浏览器中禁用像JavaScript脚本语言。即便因此可能会让一些站点上的一些非常不错的功能没法使用,仅仅要你还可以容忍即可。
二、上面列出的五点。
2、sql注入攻击
防止sql注入方法:
一、用户注冊和登陆的时候输入的username和password的时候禁止有特殊字符。
二、最小权限原则。
三、假设使用的是java,则尽量使用PreparedStatement
3、...