什么是XSS攻擊?

XSS攻擊通常指的是通過利用網(wǎng)頁開發(fā)時(shí)留下的漏洞，通過巧妙的方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。這些惡意網(wǎng)頁程序通常是JavaScript，但實(shí)際上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻擊成功后，攻擊者可能得到包括但不限于更高的權(quán)限(如執(zhí)行一些操作)、私密網(wǎng)頁內(nèi)容、會(huì)話和cookie等各種內(nèi)容。

有哪些攻擊原理?

XSS主要分為：反射型XSS、存儲(chǔ)型XSS、DOM型XSS三種攻擊類型，而每種類型的攻擊原理都不一樣。其中反射型XSS和DOM-based 型XSS可以歸類為非持久型 XSS 攻擊，存儲(chǔ)型XSS歸類為持久型 XSS 攻擊。

反射型XSS：攻擊者可通過特定的方式(例如：電子郵件)來誘惑受害者去訪問一個(gè)包含惡意代碼的URL。當(dāng)受害者點(diǎn)擊惡意鏈接url的時(shí)候，惡意代碼會(huì)直接在受害者的主機(jī)上的瀏覽器執(zhí)行。

存儲(chǔ)型XSS：主要是將惡意代碼上傳或存儲(chǔ)到服務(wù)器中，下次只要受害者瀏覽包含此惡意代碼的頁面就會(huì)執(zhí)行惡意代碼。

DOM-based型XSS：客戶端的腳本程序可以動(dòng)態(tài)地檢查和修改頁面內(nèi)容，而不依賴于服務(wù)器端的數(shù)據(jù)。例如客戶端如從 URL 中提取數(shù)據(jù)并在本地執(zhí)行，如果用戶在客戶端輸入的數(shù)據(jù)包含了惡意的 JavaScript 腳本，而這些腳本沒有經(jīng)過適當(dāng)?shù)倪^濾和消毒，那么應(yīng)用程序就可能受到 DOM-based XSS 攻擊。需要特別注意以下的用戶輸入源 document.URL、 location.hash、 location.search、 document.referrer 等。

該如何防御XSS攻擊?

1.對輸入(和URL參數(shù))進(jìn)行過濾，對輸出進(jìn)行編碼。

對提交的所有內(nèi)容進(jìn)行過濾，對url中的參數(shù)進(jìn)行過濾，過濾掉會(huì)導(dǎo)致腳本執(zhí)行的相關(guān)內(nèi)容;然后對動(dòng)態(tài)輸出到頁面的內(nèi)容進(jìn)行html編碼，使腳本無法在瀏覽器中執(zhí)行。雖然對輸入過濾可以被繞過，但是也還是會(huì)攔截很大一部分XSS攻擊。

為了避免反射式或存儲(chǔ)式的XSS漏洞，最好的辦法是根據(jù)HTML輸出的上下文(包括：主體、屬性、JavaScript、CSS或URL)對所有不可信的HTTP請求數(shù)據(jù)進(jìn)行恰當(dāng)?shù)霓D(zhuǎn)義。

2.在客戶端修改瀏覽器文檔時(shí)，為了避免DOM型XSS攻擊，最好的選擇是實(shí)施上下文敏感數(shù)據(jù)編碼。

例如：使用內(nèi)容安全策略(CSP)就是對抗XSS的深度防御策略。

廈門高防服務(wù)器需要注意的有哪些?

L5630X2 16核 32G 240G SSD 1個(gè)ip 30G防御 30M獨(dú)享 廈門BGP

E5-2690v2X2 40核 64G 500G SSD 1個(gè)ip 30G防御 30M獨(dú)享 廈門BGP

L5630X2 16核 32G 240G SSD 1個(gè)ip 100G防御 50M獨(dú)享 廈門BGP

E5-2690v2X2 40核 64G 500G SSD 1個(gè)ip 100G防御 50M獨(dú)享 廈門BGP

I9-9900K(水冷定制) 32G(定制) 512G SSD(調(diào)優(yōu)) 1個(gè)ip 100G防御 50M獨(dú)享 廈門BGP

I9-10900K(強(qiáng)勁水冷) 64G(定制) 1T SSD(調(diào)優(yōu)) 1個(gè)ip 100G防御 50M獨(dú)享 廈門BGP

E5-2698v4X2 80核(戰(zhàn)艦級) 64G 512G SSD(調(diào)優(yōu)) 1個(gè)ip 200G防御 50M獨(dú)享 廈門BGP

E5-2660X2 32核 32G 500G SSD 1個(gè)ip 300G防御 100M獨(dú)享 廈門BGP

縱橫數(shù)據(jù)專業(yè)提供高防服務(wù)器租用，包含美國高防服務(wù)器租用、韓國高防服務(wù)器租用、香港高防服務(wù)器租用、宿遷高防服務(wù)器租用、濟(jì)南高防服務(wù)器租用、東莞高防服務(wù)器租用、廈門高防服務(wù)器租用、泉州高防服務(wù)器租用、青島高防服務(wù)器租用、寧波高防服務(wù)器租用、揚(yáng)州高防服務(wù)器租用、杭州高防服務(wù)器租用、江蘇高防服務(wù)器租用等，有需要的朋友可以咨詢我們，官網(wǎng)注冊地址：http://666323.cn/，QQ：3494196421，微信：19906048603。