攻击目的

  • 窃取cookie
  • 监听用户操作,比如 监听用户输入
  • 修改DOM,造出假的登录窗口,让用户信以为真
  • 生成广告dom,影响体验的广告

如何攻击

  • 存储型xss,保存可执行的脚本到服务器
  • 反射型xss,不涉及数据库存储的xss,不过也是利用服务器没有做过滤
  • dom,广告、造出假的窗口

如何防御

  • 服务器对输入脚本做过滤
  • 利用CSP(对可访问的域名,添加白名单)

    CSP网站请求头 img-src 有效的图片来源 connect-src 应用于 XMLHttpRequest(AJAX),WebSocket 或 EventSource

font-src 有效的字体来源

object-src 有效的插件来

  • 保护好我们的cookie

    很多时候,这是黑客的目的所在。 设置 http-only 则黑客无法通过 JS 获取。