使用AntiSamy防范XSS跨站脚本攻击

时间:2014-10-12 17:11:50来源:作者:点击:

什么是?

 

(Cross Site Scripting),即跨站脚本攻击,是一种常见于web application中的计算机安全漏洞。通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用户输入输出到浏览器,则浏览器将会执行用户注入的脚本。

 

的分类

根据造成的影响,可以将分为非持久型和持久型。

1.             非持久型,也叫反射型。通过GET和 POST方法,向服务器端输入数据。用户输入的数据通常被放置在URL的query string中,或者是form 数据中。如果服务器端对输入的数据不进行过滤,验证或编码,就直接将用户输入的信息直接呈现给客户,则可能会造成反射型。反射型是比较普遍的 ,其危害程度通常被认为较小。但是某些反射型造成的后果会很严重,如在输入框的name中输入<meta http-equiv="refresh" content="5" />,服务器不加处理,将name的值直接送到浏览器,则浏览器会每5秒自动刷新一次。严重者会导致服务器崩溃。

2.             持久型,也叫存储型。通常是因为服务器端将用户输入的恶意脚本没有通过验证就直接存储在数据库,并且每次通过调用数据库的方式,将数据呈现在浏览器上。则该 跨站脚本攻击将一直存在。若其他用户访问该页面,则恶意脚本就会被触发,用于盗取其他用户的私人信息。

常用方式分为以下几种:

1.      输入框中直接输入恶意脚本,如:

><script>alert(document.cookie)</script>

2.      输入框中输入html标签,在标签中嵌入恶意脚本,如src,href,css style等。

[1]      

您可能感兴趣的文章

无相关信息

文章评论