web安全之XSS攻击

XSS攻击及防范

1. 什么是XSS?

CSRF（Cross-site request forgery），中文名称：跨站请求伪造。 将恶意代码植入到提供给其他用户使用的页面中，简单的理解为一种javascript代码注入。

2. XSS危害

• 挂马
• 盗取用户Cookie。
• DOS（拒绝服务）客户端浏览器。
• 钓鱼攻击，高级的钓鱼技巧。
• 删除目标文章、恶意篡改数据、嫁祸。
• 劫持用户Web行为，甚至进一步渗透内网。
• 爆发Web2.0蠕虫。
• 蠕虫式的DDoS攻击。
• 蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据

3.XSS分类

XSS分为三类：

• 反射型XSS(非持久型)
  • 发出请求时，XSS代码出现在URL中，作为输入提交到服务器端，服务器端解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。这个过程像一次反射，故叫反射型XSS。
• 存储型XSS(持久型)
  • 存储型XSS和反射型XSS的差别仅在于，提交的代码会存储在服务器端（数据库，内存，文件系统等），下次请求目标页面时不用再提交XSS代码。
• DOM XSS(客户端)
  • DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与，触发XSS靠的是浏览器端的DOM解析，完全是客户端的事情。

4.XSS的防御措施：

• 过滤转义输入输出
• 避免使用eval、new Function等执行字符串的方法，除非确定字符串和用户输入无关
• 使用cookie的httpOnly属性，加上了这个属性的cookie字段，js是无法进行读写的
• 使用innerHTML、document.write的时候，如果数据是用户输入的，那么需要对象关键字符进行过滤与转义