摘要: 對于的用戶輸入搜索出現XSS漏洞的問題,主要是由于開發人員對XSS了解不足,安全的意識不夠造成的。現在讓我們來普及一下XSS的一些常識,以后在開發的時候,每當有用戶輸入的內容時,都要加倍小心。
一、什么是XSS
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執行,從而達到惡意用戶的特殊目的。XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常呼略其危害性
在WEB2。0時代,強調的是互動,使得用戶輸入信息的機會大增,在這個情況下,我們作為開發者,在開發的時候,要提高警惕。
二、XSS攻擊的主要途徑
方法只是利用HTML的屬性,作各種的嘗試,找出注入的方法。現在對三種主要方式進行分析。
第一種:對普通的用戶輸入,頁面原樣內容輸出。
打開http://go.ent.163.com/goproducttest/test.jsp(限公司IP),
閱讀全文