什么是xss攻擊?

　　XSS又叫CSS(Cross Site Script)，跨站腳本攻擊：指惡意攻擊者往Web頁面里插入惡意Script代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web里面的Script代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的目的。

　　那么，當(dāng)當(dāng)前的網(wǎng)頁彈出1的時(shí)候，我們就知道，這個(gè)網(wǎng)頁是可以執(zhí)行js腳本的了，那么我們是不是就可以通過document去盜取一些信息，來幫助我們更進(jìn)一步的去潛入進(jìn)去呢?例如盜取一下cookie等。

　　先來看一下XSS有幾種吧：

　　持久型：一些可以提交的地方，文章評(píng)論，個(gè)人信息填寫等，如果沒有加過濾的話，嵌入的腳本就會(huì)被提交到服務(wù)器上，之后用戶每次訪問都會(huì)觸發(fā)腳本(例如圖中的alert(1)，每個(gè)用戶打開都會(huì)彈出1)

　　非持久型：反射型跨站腳本漏洞，是最普遍的類型。大多是鏈接的方式，需要用戶點(diǎn)擊，才能返回腳本進(jìn)行操作(用戶訪問服務(wù)器-->點(diǎn)擊跨站鏈接--->返回腳本代碼)

　　DOM型：客戶端的腳本程序可以通過DOM動(dòng)態(tài)地檢查和修改頁面內(nèi)容，它不依賴于提交數(shù)據(jù)到服務(wù)器端，而從客戶端獲得DOM中的數(shù)據(jù)在本地執(zhí)行，如果DOM中的數(shù)據(jù)沒有經(jīng)過嚴(yán)格確認(rèn)，就會(huì)產(chǎn)生DOM XSS漏洞(很少見emm，反正我沒見過hhh，日后見到了來補(bǔ)上，再細(xì)說)

　　XSS可能會(huì)帶來的危害

　　使網(wǎng)頁無法正常運(yùn)行：這個(gè)就是我們上面中圖示的內(nèi)容，如果不僅僅是一個(gè)alert(1)呢?外部來一個(gè)永久循環(huán)，這個(gè)網(wǎng)頁的彈窗就會(huì)永遠(yuǎn)關(guān)不掉，導(dǎo)致無法正常的實(shí)現(xiàn)整體業(yè)務(wù)流程。

　　獲取cookie信息：這個(gè)我們也在上文中說過，如果網(wǎng)頁上可以執(zhí)行js腳本的話，那么我們是可以通過document.cookie來實(shí)現(xiàn)獲取用戶cookie的。

　　試想下如果像QQ空間說說中能夠?qū)懭離ss攻擊語句，那豈不是看了你說說的人的號(hào)你都可以登錄。

　　劫持流量惡意跳轉(zhuǎn)：像這樣，在網(wǎng)頁中想辦法插入一句像這樣的語句，訪問的網(wǎng)頁就會(huì)直接跳轉(zhuǎn)到百度去。

　　<script>window.location.;</script>

　　XSS的攻擊應(yīng)該具備這樣的條件

　　網(wǎng)頁內(nèi)部有輸入框，內(nèi)容可存儲(chǔ)在服務(wù)器上

　　輸入框內(nèi)的內(nèi)容，才能被提交到他的服務(wù)器上，才能改變這個(gè)網(wǎng)頁內(nèi)部的文件內(nèi)容。

　　前提是這個(gè)輸入，沒有被過濾，才會(huì)成功哦!

　　可以自己寫demo嘗試一下，不建議直接在網(wǎng)絡(luò)上開搞emm，自己玩玩就行哈~

　　XSS防御措施(對(duì)用戶輸入內(nèi)容和服務(wù)端返回內(nèi)容進(jìn)行過濾和轉(zhuǎn)譯)

　　現(xiàn)代大部分瀏覽器都自帶 XSS 篩選器(vue/react等主流框架已經(jīng)避免類似問題，vue舉例：不能在template中寫script標(biāo)簽，無法在js中通過ref或append等方式動(dòng)態(tài)改變或添加script標(biāo)簽)

　　過濾：對(duì)諸如script、img、a等標(biāo)簽進(jìn)行過濾。

　　編碼：像一些常見的符號(hào)，如<>在輸入的時(shí)候要對(duì)其進(jìn)行轉(zhuǎn)換編碼，這樣做瀏覽器是不會(huì)對(duì)該標(biāo)簽進(jìn)行解釋執(zhí)行的，同時(shí)也不影響顯示效果。

　　最后，學(xué)習(xí)網(wǎng)絡(luò)安全是為了保護(hù)好自己，在這個(gè)網(wǎng)絡(luò)時(shí)代，避免自己的信息被不法分子盜取，而不是說我們學(xué)會(huì)如何去攻擊別人。

　　更多關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓(xùn)服務(wù)經(jīng)驗(yàn)，采用全程面授高品質(zhì)、高體驗(yàn)培養(yǎng)模式，擁有國內(nèi)一體化教學(xué)管理及學(xué)員服務(wù)，助力更多學(xué)員實(shí)現(xiàn)高薪夢想。