XSS攻击
xss攻击位置
用户登录入口、网站搜索框等。
xss发生过程
例如:
1 | <input type="text" name="address1" value="value1from"> |
当用户输入不是正常想要输入的内容,而是输入一串代码:
1 | "/><script>alert(document.cookie)</script> |
变成:
1 | <input type="text" name="address1" value=""/><script>alert(document.cookie)</script>"> |
从而代码就会执行。
xss防御
将用户提交的所有内容都进行过滤,
排除关键字,敏感内容,对URL的参数也进行一定的过滤,
并且对动态输出到页面的内容进行html编码,转换为html实体,使其用户输入的恶意代码无法在浏览器中执行。