XSS
cross site script 跨站脚本攻击。
原理
- 攻击者首先注入攻击脚本到第三方正规平台网站
- 受害用户点击链接后,会把网站cookie信息发送到hacker指定的URL。
- hacker盗取到cookie后可以以受害者身份登陆
防范
-
HttpOnly cookie 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击
-
提交值检查 过滤tag值<script>、
、 tag值长度 转码比如<,>
cross site script 跨站脚本攻击。
HttpOnly cookie 如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击
提交值检查
过滤tag值<script>、、
tag值长度
转码比如<,>