大家好，大家經(jīng)常聽到XSS攻擊這個詞，那么XSS攻擊到底是什么，以及如何防御XSS攻擊大家清楚么？今天，天下數(shù)據(jù)就給大家講一下：XSS攻擊的定義、類型以及防御方法。

什么是XSS攻擊？

XSS攻擊全稱跨站腳本攻擊，是一種在web應(yīng)用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。

XSS攻擊有哪幾種類型？

常見的 XSS 攻擊有三種：反射型XSS攻擊、DOM-based 型XXS攻擊以及存儲型XSS攻擊。

1.反射型XSS攻擊

反射型 XSS 一般是攻擊者通過特定手法（如電子郵件），誘使用戶去訪問一個包含惡意代碼的 URL，當(dāng)受害者點擊這些專門設(shè)計的鏈接的時候，惡意代碼會直接在受害者主機上的瀏覽器執(zhí)行。反射型XSS通常出現(xiàn)在網(wǎng)站的搜索欄、用戶登錄口等地方，常用來竊取客戶端 Cookies 或進行釣魚欺騙。

2.存儲型XSS攻擊

也叫持久型XSS，主要將XSS代碼提交存儲在服務(wù)器端（數(shù)據(jù)庫，內(nèi)存，文件系統(tǒng)等），下次請求目標(biāo)頁面時不用再提交XSS代碼。當(dāng)目標(biāo)用戶訪問該頁面獲取數(shù)據(jù)時，XSS代碼會從服務(wù)器解析之后加載出來，返回到瀏覽器做正常的HTML和JS解析執(zhí)行，XSS攻擊就發(fā)生了。存儲型 XSS 一般出現(xiàn)在網(wǎng)站留言、評論、博客日志等交互處，惡意腳本存儲到客戶端或者服務(wù)端的數(shù)據(jù)庫中。

3.DOM-based 型XSS攻擊

基于 DOM 的 XSS 攻擊是指通過惡意腳本修改頁面的 DOM 結(jié)構(gòu)，是純粹發(fā)生在客戶端的攻擊。DOM 型 XSS 攻擊中，取出和執(zhí)行惡意代碼由瀏覽器端完成，屬于前端 JavaScript 自身的安全漏洞。

如何防御XSS攻擊？

1. 對輸入內(nèi)容的特定字符進行編碼，例如表示 html標(biāo)記的 < > 等符號。 

2. 對重要的 cookie設(shè)置 httpOnly, 防止客戶端通過document.cookie讀取 cookie，此 HTTP頭由服務(wù)端設(shè)置。 

3. 將不可信的值輸出 URL參數(shù)之前，進行 URLEncode操作，而對于從 URL參數(shù)中獲取值一定要進行格式檢測（比如你需要的時URL，就判讀是否滿足URL格式）。 

4. 不要使用 Eval來解析并運行不確定的數(shù)據(jù)或代碼，對于 JSON解析請使用 JSON.parse() 方法。 

5. 后端接口也應(yīng)該要做到關(guān)鍵字符過濾的問題。 

以上，是天下數(shù)據(jù)給大家分享的關(guān)于XSS攻擊的全部內(nèi)容，大家記得收藏方便以后查看哦。

如今，各種類型網(wǎng)絡(luò)攻擊日益頻繁，除了XSS攻擊之外，比較常見的網(wǎng)絡(luò)攻擊類型還包括DDoS攻擊、CC攻擊等，它們非常難以防御，除了需要做好日常網(wǎng)絡(luò)安全防護之外，還需要接入高防服務(wù)，可以接入天下數(shù)據(jù)高防cdn，通過天下數(shù)據(jù)高防cdn隱藏源IP，對攻擊流量進行清洗，保障企業(yè)網(wǎng)絡(luò)及業(yè)務(wù)的正常運行。

本文鏈接：http://m.51huadong.com/cloundnews/11004275.html