跨站脚本攻击有几种，应该怎样做好防护？-群英

上一篇：SQL注入原理是什么，有几种注入方式？下一篇：数据库日志分析有什么用，怎样做？

跨站脚本攻击有几种?跨站脚本攻击也就是XSS攻击，是比较常见的攻击，主要有持久型跨站、非持久型跨站和DOM跨站这三种类型。那么我们该如何做好防护呢？下面我们一起来看看。

一、跨站脚本攻击类型：

（1）持久型跨站：最直接的危害类型，跨站代码存储在服务器（数据库）。

（2）非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。

（3）DOM跨站（DOM XSS）:DOM(document object model文档对象模型)，客户端脚本处理逻辑导致的安全问题。

（如果您想了解更多相关问题，可以访问php中文网。）

二、如何预防？

从网站开发者角度，如何防护XSS攻击?

对XSS最佳的防护应该结合以下两种方法：

1、验证所有输入数据，有效检测攻击；

2、对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。

具体如下：

输入验证：某个数据被接受为可被显示或存储之前，使用标准输入验证机制，验证所有输入数据的长度、类型、语法以及业务规则。

输出编码：数据输出前，确保用户提交的数据已被正确进行entity编码，建议对所有字符进行编码而不仅局限于某个子集。

明确指定输出的编码方式：不要允许攻击者为你的用户选择编码方式(如ISO 8859-1或 UTF 8)。

注意：黑名单验证方式的局限性：仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字)，很容易被XSS变种攻击绕过验证机制。

警惕规范化错误：验证输入之前，必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。

从网站用户角度，如何防护XSS攻击?

当你打开一封Email或附件、浏览论坛帖子时，可能恶意脚本会自动执行，因此，在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用IE浏览器，将安全级别设置到“高”。

这里需要再次提醒的是，XSS攻击其实伴随着社会工程学的成功应用，需要增强安全意识，只信任值得信任的站点或内容。可以通过一些检测工具进行xss的漏洞检测。针对xss的漏洞带来的危害是巨大，如有发现，应立即修复漏洞。

以上就是跨站脚本攻击的相关介绍，了解跨站脚本攻击对做好防御有一定的帮助，上述防御方法大家可以了解看看，希望对大家有帮助，想要了解更多可以继续浏览群英网络其他相关的文章。

文本转载自PHP中文网

标签：跨站脚本攻击

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

上一篇：SQL注入原理是什么，有几种注入方式？下一篇：数据库日志分析有什么用，怎样做？