社群
學習
工具庫
AI工具
休閒
搜尋
繁体中文
首頁 運維 安全 XSS分類及防禦措施

XSS分類及防禦措施

王林
王林
Jun 17, 2020 pm 05:27 PM
xss 防禦措施

XSS分類及防禦措施

XSS分為三類:

  • #反射型XSS(非持久型)發出請求時,XSS程式碼出現在URL中,作為輸入提交到伺服器端,伺服器端解析後回應,XSS程式碼隨回應內容一起傳回給瀏覽器,最後瀏覽器解析執行XSS程式碼。這個過程像是一次反射,故叫反射型XSS。

  • 儲存型XSS(持久型)儲存型XSS和反射型XSS的差異僅在於,提交的程式碼會儲存在伺服器端(資料庫,內存,檔案系統等),下次請求目標頁面時不用再提交XSS代碼。

  • DOM XSS(客戶端)DOM XSS和反射型XSS、儲存型XSS的差異在於DOM XSS的程式碼並不需要伺服器參與,觸發XSS靠的是瀏覽器端的DOM解析,完全是客戶端的事情。

XSS的防禦措施:

  • #過濾轉義輸入輸出

  • 避免使用eval、new Function等執行字串的方法,除非確定字串和使用者輸入無關

  • #使用cookie的httpOnly屬性,加上了這個屬性的cookie字段, js是無法進行讀寫的

  • 使用innerHTML、document.write的時候,如果資料是使用者輸入的,那麼需要物件關鍵字元進行過濾與轉義

#推薦教學:web伺服器安全性

#

以上是XSS分類及防禦措施的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

AI Hentai Generator

AI Hentai Generator

免費產生 AI 無盡。

顯示更多

熱門文章

R.E.P.O.能量晶體解釋及其做什麼(黃色晶體)
1 個月前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳圖形設置
1 個月前 By 尊渡假赌尊渡假赌尊渡假赌
刺客信條陰影:貝殼謎語解決方案
2 週前 By DDD
R.E.P.O.如果您聽不到任何人,如何修復音頻
1 個月前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.聊天命令以及如何使用它們
1 個月前 By 尊渡假赌尊渡假赌尊渡假赌
顯示更多

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

顯示更多

熱門話題

gmail信箱登陸入口在哪裡
7538
15
CakePHP 教程
1380
52
steam的賬戶名稱是什麼格式
83
11
win11激活密鑰永久
55
19
NYT連接提示和答案
21
86
顯示更多
Related knowledge
Laravel中的跨站腳本攻擊(XSS)和跨站請求偽造(CSRF)防護 Laravel中的跨站腳本攻擊(XSS)和跨站請求偽造(CSRF)防護 Aug 13, 2023 pm 04:43 PM

Laravel中的跨站腳本攻擊(XSS)和跨站請求偽造(CSRF)防護隨著互聯網的發展,網路安全問題也變得越來越嚴峻。其中,跨站腳本攻擊(Cross-SiteScripting,XSS)和跨站請求偽造(Cross-SiteRequestForgery,CSRF)是最常見的攻擊手段之一。 Laravel作為一款受歡迎的PHP開發框架,為使用者提供了多種安全機

PHP防禦XSS與遠端程式碼執行攻擊的方法 PHP防禦XSS與遠端程式碼執行攻擊的方法 Jun 30, 2023 am 08:04 AM

如何使用PHP防禦跨站腳本(XSS)與遠端程式碼執行攻擊引言:在當今網路世界中,安全性成為了一個至關重要的問題。 XSS(跨站腳本攻擊)和遠端程式碼執行攻擊是兩種最常見的安全漏洞之一。本文將探討如何使用PHP語言來防禦這兩種攻擊,並提供幾種方法和技巧來保護網站免受這些攻擊的威脅。一、了解XSS攻擊XSS攻擊是指攻擊者透過在網站上註入惡意腳本來獲取使用者的個人資訊、

保護Ajax應用程式免受CSRF攻擊的安全措施 保護Ajax應用程式免受CSRF攻擊的安全措施 Jan 30, 2024 am 08:38 AM

Ajax安全性分析:如何防止CSRF攻擊?引言:隨著Web應用程式的發展,前端技術的廣泛應用,Ajax已經成為了開發人員日常工作中不可或缺的一部分。然而,Ajax也為應用程式帶來了一些安全風險,其中最常見的就是CSRF攻擊(Cross-SiteRequestForgery)。本文將從CSRF攻擊的原理入手,分析其對Ajax應用的安全威脅,並提供一些防禦C

PHP和Vue.js開發安全性最佳實務:防止XSS攻擊 PHP和Vue.js開發安全性最佳實務:防止XSS攻擊 Jul 06, 2023 pm 01:37 PM

PHP和Vue.js開發安全性最佳實務:防止XSS攻擊隨著網路的快速發展,網路安全問題變得越來越重要。其中,XSS(跨站腳本攻擊)是一種非常常見的網路攻擊類型,旨在利用網站的安全漏洞,向使用者註入惡意程式碼或篡改網頁內容。在PHP和Vue.js開發中,採取一些安全性最佳實踐是非常重要的,以防止XSS攻擊。本文將介紹一些常用的防止XSS攻擊的方法,並提供對應的代

PHP中的安全性XSS過濾技術解析 PHP中的安全性XSS過濾技術解析 Jun 29, 2023 am 09:49 AM

PHP是一種廣泛應用於網站開發的程式語言,但在使用PHP開發網站時,安全問題常常引起人們的擔憂。其中之一就是跨網站腳本攻擊(Cross-SiteScripting,XSS),是常見的網路安全漏洞。為了解決這個問題,PHP提供了一些安全XSS過濾技術。本文將介紹PHP中的安全XSS過濾技術的原理與使用方法。首先,我們要了解什麼是XSS攻擊。 XSS攻擊

怎麼分析反射型XSS 怎麼分析反射型XSS May 13, 2023 pm 08:13 PM

1.反射型XSS反射型XSS是指應用程式透過Web請求取得不可信賴的數據,在未檢驗資料是否有惡意程式碼的情況下,便將其傳送給了Web使用者。反射型XSS一般由攻擊者建構帶有惡意程式碼參數的URL,當URL位址被開啟時,特有的惡意程式碼參數被HTML解析、執行,它的特點是非持久化,必須使用者點擊帶有特定參數的鏈接才能引起。小編以JAVA語言原始碼為例,分析CWEID80:ImproperNeutralizationofScript-RelatedHTMLTagsinaWebPage(BasicXSS)2、

如何分析反射型XSS 如何分析反射型XSS Jun 03, 2023 pm 12:09 PM

1測試環境介紹測試環境為OWASP環境中的DVWA模組2測試說明XSS又叫CSS(CrossSiteScript),跨站腳本攻擊。它指的是惡意攻擊者往Web頁面插入惡意html程式碼,當使用者瀏覽該頁之時,嵌入其中Web裡面的html程式碼會被執行,從而達到惡意攻擊使用者的特殊目的,例如取得使用者的cookie,導航到惡意網站,攜帶攻擊等等。利用該漏洞,攻擊者可以劫持已通過驗證的使用者的會話。劫持到已驗證的會話後,病毒發起者擁有該授權使用者的所有權限。 3測試步驟在輸入框中輸入javascrip腳本程式碼:al

PHP中的XSS攻擊 PHP中的XSS攻擊 May 23, 2023 am 09:10 AM

近年來,隨著網路資訊科技的快速發展,我們的生活越來越離不開網路。而網路與我們日常生活的交互,離不開大量的程式碼編寫、傳輸以及處理。而這些程式碼,需要我們保護它們安全,否則,惡意攻擊者會利用它們發動各種攻擊。其中的一種攻擊就是XSS攻擊。在本文中,我們將重點放在PHP中的XSS攻擊,並且給予對應的防禦方法。一、XSS攻擊概述XSS攻擊,也稱為跨站腳本攻擊,通常是

See all articles