摘要: 對(duì)于的用戶輸入搜索出現(xiàn)XSS漏洞的問題,主要是由于開發(fā)人員對(duì)XSS了解不足,安全的意識(shí)不夠造成的。現(xiàn)在讓我們來普及一下XSS的一些常識(shí),以后在開發(fā)的時(shí)候,每當(dāng)有用戶輸入的內(nèi)容時(shí),都要加倍小心。
一、什么是XSS
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入其中Web里面的html代碼會(huì)被執(zhí)行,從而達(dá)到惡意用戶的特殊目的。XSS屬于被動(dòng)式的攻擊,因?yàn)槠浔粍?dòng)且不好利用,所以許多人常呼略其危害性
在WEB2。0時(shí)代,強(qiáng)調(diào)的是互動(dòng),使得用戶輸入信息的機(jī)會(huì)大增,在這個(gè)情況下,我們作為開發(fā)者,在開發(fā)的時(shí)候,要提高警惕。
二、XSS攻擊的主要途徑
方法只是利用HTML的屬性,作各種的嘗試,找出注入的方法。現(xiàn)在對(duì)三種主要方式進(jìn)行分析。
第一種:對(duì)普通的用戶輸入,頁(yè)面原樣內(nèi)容輸出。
打開http://go.ent.163.com/goproducttest/test.jsp(限公司IP),
閱讀全文