?

概念

XSS全稱為Cross Site Script，即跨站點腳本攻擊，XSS攻擊是最為普遍且中招率最多的web攻擊方式，一般攻擊者通過在網頁惡意植入攻擊腳本來篡改網頁，在用戶瀏覽網頁時就能執行惡意的操作，像html、css、img都有可能被攻擊。

像前不久微信貌似就中招，好像是在朋友圈發送一個帶有腳本的鏈接，然后通過點擊該鏈接就會彈出一個提示，雖然沒有造成什么影響，但這是XSS攻擊最鮮明的特點。

?

分類

XSS現在主要分為以下兩種攻擊類型：

1、反射型漏洞

這種類型攻擊者一般通過在網頁中嵌入含有惡意攻擊腳本的鏈接，或者通過發送帶腳本的鏈接給受害者，這個腳本鏈接是攻擊者自己的服務器，用戶通過點擊該鏈接就能達到攻擊的目的。如http://www.test.com/p=<script src=... />，這樣受害者的網頁就嵌入了這段腳本，受害者通過點擊鏈接觸發攻擊腳本。

新浪微博曾經就出現過一次較為嚴重的XSS攻擊事件，攻擊者通過發送一個帶有鏈接的微博誘導用戶點擊，通過點擊腳本鏈接大量用戶自動發送某些不良信息和私信并自動關注攻擊者的微博賬號，這是典型的反射型漏洞。

這次新浪微博事件顯然是一次推廣營銷而已，并沒有嚴重影響新浪的服務，然而現實中攻擊者可以通過竊取用戶cookie獲取用戶名密碼等重要信息來偽造用戶交易、竊取用戶的財產等影響用戶財產安全的惡意行為。

?

2、存儲型漏洞

這種類型是影響最為廣泛的且危害網站安全自身的攻擊方式，攻擊者通過上傳惡意腳本到網站服務器或保存到數據庫中，惡意腳本就會包含在網頁中，這樣會導致所有瀏覽該網頁的用戶有中招的可能。這種攻擊類型一般常見在博客、論壇等網站中。

?

防御手段

1、危險字符過濾

即對用戶輸入的危險字符進行轉義，如>轉義為"&gt"，<轉義為"&lt" ，如果被轉義有誤解，可以對<script src=..這種類型的<才進行轉義，這樣就能避免大部分的XSS攻擊。

?

2、使用http only的cookie

httpOnly由微軟在IE中提出，禁止用戶在瀏覽器中通過腳本訪問帶有httpOnly的cookie。有了這個特性，如果是用戶敏感信息保存在cookie中的，可以通過在cookie加下httpOnly屬性避免XSS攻擊cookie造成用戶信息泄漏。

?

最后，雖然這些攻擊方式都有對應的防御手段，但是這些攻擊方式也有日異月新的變化和發展，在開發web項目時也一定要重視XSS腳本攻擊帶來的危害，及時加強防御，不要讓攻擊有可乘之機。

總結

以上是生活随笔為你收集整理的WEB攻击手段及防御第1篇－XSS的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。