跨站脚本是什么攻击?XSS包括哪三大类型

跨站脚本是什么意思?想必很多人都是一头雾水,听都没听过,但是信息安全行业的就很熟悉了,今天就和知了姐一起来看看跨站脚本及XSS包括哪三大类型。
跨站脚本是什么攻击?
跨站脚本攻击又叫XSS,CSS  (Cross Site Script) 。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
它与SQL注入攻击相似,SQL注入攻击中以SQL语句做为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,经过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。
XSS包括哪三大类型:
(1)持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据库)。
(2)非持久型跨站:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。
(3)DOM跨站(DOM XSS):DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。

跨站脚本是什么攻击

对XSS最佳的防护应该结合以下两种方法:
1、验证所有输入数据,有效检测攻击;
2、对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
具体如下:
输入验证:某个数据被接受为可被显示或存储之前,使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则。
输出编码:数据输出前,确保用户提交的数据已被正确进行entity编码,建议对所有字符进行编码而不仅局限于某个子集。
明确指定输出的编码方式:不要允许攻击者为你的用户选择编码方式(如ISO 8859-1或 UTF 8)。
跨站脚本是什么攻击?XSS包括哪三大类型。关注成都网络安全培训机构,带你了解更多相关问题。
 

 

热门课程

免费试听

上课方式

开班时间

实战教学·项目驱动

开班计划中
  • 网络安全

    7月25日

  • 前端

    7月25日

  • JAVA

    7月25日

  • 软件测试

    7月25日

24小时报名热线

177 1362 3990

预约试学