无处不在的xss攻击(Cross Site Script)

　　XSS(Cross Site Script)跨站脚本攻击。是指攻击者向被攻击Web 页面里插入恶意html代码，当用户浏览该页之时，嵌入其中的HTML代码会被执行，从而达到攻击的特殊目的。

　　常见的有：

　　其核心点在于注入，就是通过各种不同的方式，通过对网站提交一些特殊的数据，或者网站页面中本身就故意包含一些代码，使得页面能自动执行一些我们预想的操作或者屏蔽掉一些页面本身的内容。

　　我们为了防止执行用户直接在某些输入字段里直接提交''或'xxx–>'及''这一类的注入方式，可以通过多种手段绕过，如：

　　以上的写法比较直白，一看就知道干坏事的，我们还可以通过一些手段进行伪装，例如引用外部js，或者利用各种转义，插入不可见字符，及一些hack手段。个人认为最隐蔽的是在css中进行注入，因为css中的一些样式是支持javascript:伪协议的，然后又支持Unicode以及base64编码，这比html中的实体转义更隐蔽，如：

　　更多的可以参看XSS Cheat Sheet。

时间：(2024-02-08 07:56:33)
本站资源均来自互联网或会员发布，如果不小心侵犯了您的权益请与我们联系。我们将立即删除！谢谢！