「每日一题」XSS 是什么?

新人经常在不知不觉中写出一个 XSS 漏洞,甚至连老司机也偶有湿鞋。

请用自己的语言简述:

  1. XSS 是什么(举例说明)
  2. 如何防治 XSS

———

XSS 是什么?

是英文 Cross-Site Scripting 的缩写。

简单来说

1. 正常用户 A 提交正常内容,显示在另一个用户 B 的网页上,没有问题。

2. 恶意用户 H 提交恶意内容,显示在另一个用户 B 的网页上,对 B 的网页随意篡改。

造成 XSS 有几个要点:

1. 恶意用户可以提交内容

2. 提交的内容可以显示在另一个用户的页面上

3. 这些内容未经过滤,直接运行在另一个用户的页面上

举例说明

假设我们有一个评论系统。

用户 A 提交评论「小谷你好」到服务器,然后用户 B 来访问网站,看到了 A 的评论「小谷你好」,这里没有 XSS。

恶意用户 H 提交评论「<script>console.log(document.cookie)</script>」,然后用户 B 来访问网站,这段脚本在 B 的浏览器直接执行,恶意用户 H 的脚本就可以任意操作 B 的 cookie,而 B 对此毫无察觉。有了 cookie,恶意用户 H 就可以伪造 B 的登录信息,随意访问 B 的隐私了。而 B 始终被蒙在鼓里。

XSS 的成因以及如何避免

继续上面例子,之所以恶意脚本能直接执行,有两个可能

1. 后台模板问题

<p>
评论内容:<?php echo $content; ?>
</p>

<< · Back Index ·>>

发表回复

相关推荐

成建制

夏後啟,禹子,母塗山氏名嬌。 禹與妻子塗山氏名嬌的女子剛剛成婚不久,便受命治水,離傢赴任。啟出生時,禹剛剛投入治水事...

· 6秒前

CDSS

一、CDSS简介 临床决策支持系统简称CDSS(Clinical Decision Support System)是指运用相关的、系统的临床知识和患者基本信息 ...

· 16秒前

【句集】所謂朋友 /“朋友就是把你看透瞭,還能喜歡你的人。”

不是影子一樣的朋友,隻在光明的日子裡相隨。--邵燕祥《友誼》選擇朋友要慢,改換朋友要更慢。——富蘭克林仁愛的話,仁愛的諾...

· 26秒前

体质人类学的人体测量常识

该文章是为了答题需要,因为原答案超过字数限制。

· 36秒前

岛国这十位爆火的女演员,一个比一个性感!

近期,岛国网民评出了一个“2023爆火女演员”排行榜。

· 47秒前