We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
参考:前端面试查漏补缺--(七) XSS攻击与CSRF攻击
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
XSS常见的注入方法:
存储型XSS会把恶意代码存储在服务器端。比较常见的场景:黑客写一篇包含JS恶意代码的文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JS代码,黑客将恶意的脚本保存在服务器端。
通过修改页面的DOM节点形成的XSS攻击。
远程加载一个JS脚本,脚本中创建一个图片,其中src属性中将document.cookie对象作为参数发送给远程服务器。在远程服务器中会保留这一条请求的记录,其中包含了对应的cookie信息。
document.cookie
预防该攻击,可以通过服务器设置cookie时加HttpOnly标识。
HttpOnly
The text was updated successfully, but these errors were encountered:
No branches or pull requests
参考:前端面试查漏补缺--(七) XSS攻击与CSRF攻击
什么是XSS攻击
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
XSS常见的注入方法:
XSS攻击的分类
反射型XSS
存储型XSS
存储型XSS会把恶意代码存储在服务器端。比较常见的场景:黑客写一篇包含JS恶意代码的文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JS代码,黑客将恶意的脚本保存在服务器端。
DOM Based XSS
通过修改页面的DOM节点形成的XSS攻击。
Cookie劫持
远程加载一个JS脚本,脚本中创建一个图片,其中src属性中将
document.cookie
对象作为参数发送给远程服务器。在远程服务器中会保留这一条请求的记录,其中包含了对应的cookie信息。预防该攻击,可以通过服务器设置cookie时加
HttpOnly
标识。The text was updated successfully, but these errors were encountered: