z0ukun XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。
xss攻击(Cross Site Scripting)的危害包括:非法盗取各类用户账号,如用户网银账号,各类管理员账号;非法盗取企业重要的具有商业价值的资料;非法转账,非法控制受害者机器向其他网站发起攻击,注入木马等。
XSS攻击流程
XSS攻击防护
1、首先在代码中对用户输入的地方和变量都需要仔细检查长度和对“<”;“>”;“,”等字符做过滤。
2、避免直接在cookie中泄漏用户隐私,例如email、密码等通过使cookie和系统IP绑定来降低cookie泄漏后的危险。
3、尽量采用POST而非GET提交表单。
