这段文字基本上聊聊了XSS的许多种类型和防护方法,以及一些特定打的细节。
XSS 漏洞的隐蔽性和危害
- 有些XSS漏洞非常隐蔽, 比方说IE6/IE7中的UTF7 XSS漏洞,它只对IE6/IE7有效,而对新潮浏览器如IE8、Firefox、Chrome等没有关系到。
- XSS漏洞的危害性hen巨大,Neng弄得用户cookie被盗取、弹出恶意窗口等。
XSS注入的类型
- 储存型XSS恶意代码被存储在目标服务器上, 当用户访问页面时恶意代码会被施行。
- 反射型XSS恶意代码通过URL参数传递给用户, 当用户访问该URL时恶意代码被施行。
- DOM型XSS恶意代码在客户端的DOM中被注入,弄得恶意JavaScript代码的施行。
XSS防护方法
- 用
htmlspecialchars 和 strip_tags 函数来转义HTML特殊字符和清除HTML标签。
- 用
json_encode 函数来生成表示字符串的字符串,以避免直接拼接JavaScript代码。
- 对用户输入进行严格的过滤和验证,避免不合法字符的注入。
特定打方法的聊聊
- UTF7 XSS利用UTF-7编码绕过HTML特殊字符的转义。
- DOM型XSS利用JavaScript API的不当用来注入恶意代码。
- JSONP利用JSONP漏洞注入恶意代码。
学觉得Neng
- 学HTML、JavaScript等前端手艺。
- 学代码审计和睦安Zui佳实践。
- 阅读相关书籍,如《白帽子讲web平安》和《XSS跨站脚本打剖析与防着》。
总的 这段文字有力调了XSS漏洞的严沉性和许多样性,并给了许多种防护方法和学觉得Neng,以帮开发人员geng优良地搞懂和防着XSS打。
