SS跨站腳本漏洞

XSS跨站腳本漏洞SoftwareEngineering1、理解XSS跨站腳本漏洞的含義2、了解部分XSS跨站腳本漏洞實例3、對XSS跨站腳本漏洞提出修復(fù)建議01目錄XSS跨站腳本漏洞的含義02XSS跨站腳本漏洞的具體案例03針對XSS的修復(fù)建議

XSS跨站腳本漏洞的含義1XSS跨站腳本漏洞的含義定義XSS跨站腳本漏洞：可以從以下2個角度來理解。1.觸發(fā)機制2.原理

用戶在瀏覽網(wǎng)站、使用即時通訊軟件、甚至在閱讀電子郵件時，通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼，就能夠盜取用戶信息。許多流行的留言本和論壇程序允許用戶發(fā)表包含HTML和javascript的帖子。假設(shè)用戶甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶乙在瀏覽這篇帖子時，惡意腳本就會執(zhí)行，盜取用戶乙的session信息。XSS跨站腳本漏洞的含義網(wǎng)站中包含大量的動態(tài)內(nèi)容以提高用戶體驗，比過去要復(fù)雜得多。所謂動態(tài)內(nèi)容，就是根據(jù)用戶環(huán)境和需要，Web應(yīng)用程序能夠輸出相應(yīng)的內(nèi)容。動態(tài)站點會受到一種名為“跨站腳本攻擊”（CrossSiteScripting,安全專家們通常將其縮寫成XSS,原本應(yīng)當(dāng)是css，但為了和層疊樣式表（CascadingStyleSheet,CSS）有所區(qū)分，故稱XSS）的威脅，而靜態(tài)站點則完全不受其影響。

XSS跨站腳本漏洞的具體案例2XSS跨站腳本漏洞的具體案例將有惡意的代碼輸入到留言板

XSS跨站腳本漏洞的具體案例當(dāng)用戶打開論壇并將留言中的惡意代碼當(dāng)成網(wǎng)頁腳本執(zhí)行后，就可能會泄露個人信息。圖中的惡意代碼一旦被執(zhí)行就會將自己的賬號密碼發(fā)送到攻擊者的服務(wù)器。針對XSS的修復(fù)建議3針對XSS的修復(fù)建議對上傳的內(nèi)容進行嚴(yán)格的數(shù)據(jù)過濾1.網(wǎng)站管理員當(dāng)你打開一封Email或附件、瀏覽論壇帖子時，可能惡意腳本會自動執(zhí)行，因此，在做這些操作時一定要特別謹(jǐn)慎。建議在瀏覽器設(shè)置中關(guān)閉JavaScript。如果使用IE瀏覽器，將安全級別設(shè)置到“高”。具體可以參照瀏覽器安全的相關(guān)文章。2.用戶修復(fù)建議針對XSS的修復(fù)建議提高網(wǎng)站管理員的安全意識：“安全第一，預(yù)防為主”是安全生產(chǎn)長期堅持的安全指導(dǎo)方針?！鞍踩谝弧闭f明了安全工作在生產(chǎn)過程中的重要地位，“預(yù)防為主”強調(diào)了抓安全工作中要預(yù)先發(fā)現(xiàn)事故隱患，采取相應(yīng)的防范措施，把事故消除在萌芽狀態(tài)。

1、理解XSS跨站腳本漏洞的含義