以前写程序没有怎么关注这些网络安全问题,随着自己写的程序越来越多,开始关注了网络安全了。

 

一、什么是XSS

XSS(Cross-Site Scripting) 跨站脚本是一种经常出现在web应用程序的计算机安全漏洞,通常是程序过滤不足造成的

 

二、XSS攻击方式以及表现形式

XSS攻击方式分为两种。

一种是反射性攻击,表现为主动注入脚本,直接执行代码

还有一种是持久性的XSS,表现为把脚本写入数据库中,其余用户打开页面的时候就会被收到信息盗用。

 

三、它原理是什么

原理其实很简单,因为浏览器支持dom,js,html等,可以注入代码在你的程序中,并执行了代码,黑客可以利用提交数据的时候自动获取你的cookie发送链接到其余的服务地址获取你的信息,或者让正常的网页多执行一段html页面代码,不停刷新服务器等....

 

四、如何避免,解决方法是什么

注入脚本基本上是我们允许用户输入字符串的时候造成的,但是我们很多情况下又不能不让用户输入字符串。

方案如下:

  1.输入验证,前后端都需要做处理

  2.尽量避免get请求

  3.服务器做好XSS的过滤器,支持黑白名单支持

  4.能用session尽量不用cookie

 

以上方法基本能解决大部分问题了.