XSS 跨站腳本攻擊
個人理解:攻擊者通過合法方式(如表單輸入、URL自定義參數訪問等)向web頁面插入代碼,實現獲取cookie、篡改佈局、頁面重定向等攻擊。
XSS分類:
1.反射型(非持久化):將惡意代碼作爲URL參數去訪問。
2.存儲型(持久化):通過發佈文章或留言等表單輸入提交方式將代碼存儲到服務器的數據庫中(後臺未作過濾的情況下)。每當用戶訪問使用這段代碼的頁面就會被攻擊。
3.DOM型 個人理解可歸入反射型,通過url執行惡意代碼。
防禦方式:
1.前端輸入/後端返回字符串過濾後再使用,將html js特殊字符轉實體。
2.cookie設置httponly禁止客戶端通過js獲取
3.儘量避免直接將字符串作爲html js css代碼使用
其他:
一些前端框架由於動態生成dom的原因,已經填補了大部分XSS漏洞,需要注意的是直出HTML代碼的部分,如vue的v-html,react的dangerouslySetInnerHTML
可以使用xss插件過濾:XSS-根據白名單過濾HTML(防止XSS攻擊)
參考文檔:
前端的安全問題