XSS
xss危害
- 1.挂木马
- 2.盗取用户cookie
- 3.ddos 拒绝服务 客户端浏览器
- 4.钓鱼攻击 高级的钓鱼技巧
- 5.删除目标文章 恶意串改数据 嫁祸
- 6.劫持用户web行为 甚至渗透内网
- 7.爆发 web2.0 蠕虫
- 8.蠕虫式 ddos 攻击
- 蠕虫方式挂马攻击 刷广告 刷流量 破坏网上数据
类型
1.反射
2.存储
3.基于dom
XSS 防范
1.对输入 & url 参数进行过滤,对输出进行编码 cookie 设置 http-only
输入处理
- 用户输入
- url参数
- post请求参数
- ajax
字符 全角 半角处理
黑名单 script
白名单
输出处理
- 脚本转译
node js-xss
CSRF 攻击与防御
防御
1.尽量使用post