XSS攻击有哪些攻击原理?厦门高防服务器需要注意的有哪些?
什么是XSS攻击?
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
有哪些攻击原理?
XSS主要分为:反射型XSS、存储型XSS、DOM型XSS三种攻击类型,而每种类型的攻击原理都不一样。其中反射型XSS和DOM-based 型XSS可以归类为非持久型 XSS 攻击,存储型XSS归类为持久型 XSS 攻击。
反射型XSS:攻击者可通过特定的方式(例如:电子邮件)来诱惑受害者去访问一个包含恶意代码的URL。当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。
存储型XSS:主要是将恶意代码上传或存储到服务器中,下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码。
DOM-based型XSS:客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本,而这些脚本没有经过适当的过滤和消毒,那么应用程序就可能受到 DOM-based XSS 攻击。需要特别注意以下的用户输入源 document.URL、 location.hash、 location.search、 document.referrer 等。
该如何防御XSS攻击?
1.对输入(和URL参数)进行过滤,对输出进行编码。
对提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容;然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行。虽然对输入过滤可以被绕过,但是也还是会拦截很大一部分XSS攻击。
为了避免反射式或存储式的XSS漏洞,最好的办法是根据HTML输出的上下文(包括:主体、属性、JavaScript、CSS或URL)对所有不可信的HTTP请求数据进行恰当的转义。
2.在客户端修改浏览器文档时,为了避免DOM型XSS攻击,最好的选择是实施上下文敏感数据编码。
例如:使用内容安全策略(CSP)就是对抗XSS的深度防御策略。
厦门高防服务器需要注意的有哪些?
L5630X2 16核 32G 240G SSD 1个ip 30G防御 30M独享 厦门BGP
E5-2690v2X2 40核 64G 500G SSD 1个ip 30G防御 30M独享 厦门BGP
L5630X2 16核 32G 240G SSD 1个ip 100G防御 50M独享 厦门BGP
E5-2690v2X2 40核 64G 500G SSD 1个ip 100G防御 50M独享 厦门BGP
I9-9900K(水冷定制) 32G(定制) 512G SSD(调优) 1个ip 100G防御 50M独享 厦门BGP
I9-10900K(强劲水冷) 64G(定制) 1T SSD(调优) 1个ip 100G防御 50M独享 厦门BGP
E5-2698v4X2 80核(战舰级) 64G 512G SSD(调优) 1个ip 200G防御 50M独享 厦门BGP
E5-2660X2 32核 32G 500G SSD 1个ip 300G防御 100M独享 厦门BGP
纵横数据专业提供高防服务器租用,包含美国高防服务器租用、韩国高防服务器租用、香港高防服务器租用、宿迁高防服务器租用、济南高防服务器租用、东莞高防服务器租用、厦门高防服务器租用、泉州高防服务器租用、青岛高防服务器租用、宁波高防服务器租用、扬州高防服务器租用、杭州高防服务器租用、江苏高防服务器租用等,有需要的朋友可以咨询我们,官网注册地址:https://www.zndata.com/,QQ:3494196421,微信:19906048603。