Cross-Site-Scripting-Angriff, auch bekannt als XSS, bezieht sich auf die Nutzung von Website-Schwachstellen, um in böswilliger Absicht Informationen von Benutzern zu stehlen. Cross-Site-Scripting-Angriffe werden in drei Kategorien unterteilt: 1. Persistente Cross-Site; 2. Nicht-persistente Cross-Site; 3. DOM-Cross-Site; Unter diesen ist anhaltender Cross-Site-Schaden die direkteste Art von Schaden.
Definition:
Cross-Site-Scripting-Angriff (auch bekannt als XSS) bezieht sich auf die Ausnutzung von Website-Schwachstellen, um böswillig Informationen von Benutzern zu stehlen.
Typ:
(1) Persistent Cross-Site: Die direkteste Art von Schaden, der Cross-Site-Code wird auf dem Server (Datenbank) gespeichert.
(2) Nicht persistente Cross-Site: Reflektive Cross-Site-Scripting-Schwachstelle, der häufigste Typ. Der Benutzer greift auf den serverübergreifenden Link zu und gibt den standortübergreifenden Code zurück.
(3) DOM Cross-Site (DOM XSS): DOM (Dokumentobjektmodell Dokumentobjektmodell), Sicherheitsprobleme, die durch die Verarbeitungslogik des Client-Skripts verursacht werden.
Einführung in die Verteidigungsregeln:
1. Fügen Sie keine nicht vertrauenswürdigen Daten an zulässigen Orten ein.
2. Dekodieren Sie HTML, bevor Sie nicht vertrauenswürdige Daten in den HTML-Elementinhalt einfügen
3. Dekodieren Sie Attribute, bevor Sie nicht vertrauenswürdige Daten in HTML einfügen.5. Führen Sie eine CSS-Dekodierung durch, bevor Sie nicht vertrauenswürdige Daten einfügen Daten in HTML-Stilattributwerte umwandeln;
6. Führen Sie eine URL-Dekodierung durch, bevor Sie nicht vertrauenswürdige Daten in HTML-URL-Attribute einfügen.
Wenn Sie weitere verwandte Probleme erfahren möchten, besuchen Sie
php Chinesische Website.
Das obige ist der detaillierte Inhalt vonWas ist ein Cross-Site-Scripting-Angriff?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!