![[哭笑]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_61.a296509.png)
),正准备回家的看到有个东西在水里,趴在水泥柱上面。因为玩的是路亚,鱼竿很短根本够不到它,我老弟不断的抛竿想用路亚的钩子把它从水里勾出来,经过不懈的努力终于是上来了。因为离家比较近就想把它带回家里用吹风机吹干,特意带了一个手套,结果还是被它咬出血了![[捂脸]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_28.8981538.png)
在网上搜了一下应该是红腹松鼠,现在已经放它回公园了,jym快夸我![[得意]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_52.cc6d6bc.png)
小城夏天
获得徽章 0
赞了这篇文章
赞了这篇文章
赞了这篇文章
赞了这篇沸点
赞了这篇文章
赞了这篇沸点
科普:什么是XSS跨站脚本攻击?如何防范XSS攻击?
(图转自bytebytego,翻译整理by dogstar)
关于跨站脚本攻击(XSS),你应该知道的知识。
XSS全称(Cross Site Scripting)跨站脚本攻击, 是最常见的web应用程序安全漏洞之一,是一种代码注入型的攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID等,进而伪造登录,非法获取你的数据。
要注意区别:反射型XSS 和存储型XSS 的区别。反射型XSS 一般是通过构造URL的方式传入带有恶意script代码脚本的非法参数,注入的脚本会立即执行;而存储型XSS 则是提交到目标网站的数据库中,随着时间的推移而持续存在,构成长期威胁。还有一种是DOM型XSS,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞。前两者则属于服务端的安全漏洞。
想象一下这种情况:一个狡猾的黑客利用 XSS 偷偷地从用户浏览器中获取用户凭据,例如 cookie,可能导致未经授权的访问和数据泄露。这是一个令人不寒而栗的现实。
那么,应当如何防范XSS攻击呢?
包括但不限于:
1、纯前端渲染(例如 Vue 前后端分离,在不使用 v-html 情况下,Vue会自动转义html);
2、转义 HTML(不要相信客户端的任何输入,去除script脚本标签,或转义,不给恶意代码运行的机会);
3、针对 jsonp 回调函数,需要设置白名单;
4、输入内容长度控制、内容安全策略(CSP)、定期更新和补丁等;
#跨站脚本攻击(XSS) #漏洞 #攻击向量 #缓解策略 #网络防御 #数据安全
(图转自bytebytego,翻译整理by dogstar)
关于跨站脚本攻击(XSS),你应该知道的知识。
XSS全称(Cross Site Scripting)跨站脚本攻击, 是最常见的web应用程序安全漏洞之一,是一种代码注入型的攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID等,进而伪造登录,非法获取你的数据。
要注意区别:反射型XSS 和存储型XSS 的区别。反射型XSS 一般是通过构造URL的方式传入带有恶意script代码脚本的非法参数,注入的脚本会立即执行;而存储型XSS 则是提交到目标网站的数据库中,随着时间的推移而持续存在,构成长期威胁。还有一种是DOM型XSS,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞。前两者则属于服务端的安全漏洞。
想象一下这种情况:一个狡猾的黑客利用 XSS 偷偷地从用户浏览器中获取用户凭据,例如 cookie,可能导致未经授权的访问和数据泄露。这是一个令人不寒而栗的现实。
那么,应当如何防范XSS攻击呢?
包括但不限于:
1、纯前端渲染(例如 Vue 前后端分离,在不使用 v-html 情况下,Vue会自动转义html);
2、转义 HTML(不要相信客户端的任何输入,去除script脚本标签,或转义,不给恶意代码运行的机会);
3、针对 jsonp 回调函数,需要设置白名单;
4、输入内容长度控制、内容安全策略(CSP)、定期更新和补丁等;
#跨站脚本攻击(XSS) #漏洞 #攻击向量 #缓解策略 #网络防御 #数据安全
展开
6
13