什(shén)麽是(shì)XSS攻擊？XSS攻擊有(yǒu)哪幾種類型？

大(dà)家(jiā)好(hǎo)，大(dà)✔π家(jiā)經常聽(tīng)到(dào"×)XSS攻擊這(zhè)個(gè)詞，那(nà)麽XSS攻擊到(¥≈≈γdào)底是(shì)什(shén)麽，以及如(rú)何防禦大↕₽↕≈(dà)家(jiā)清楚麽？今天，小(xi ♦εβǎo)墨就(jiù)給大(dà)家(jiā)<←講一(yī)下(xià)：XSS攻擊的(de)定義、類型以及防禦方法。
 
什(shén)麽是(shì)XSS攻擊？
 
XSS攻擊全稱跨站(zhàn)腳本攻擊，是(shì)¥↓一(yī)種在web應用(yòng)中的(de)計(jì)算(suànδ↑)機(jī)安全漏洞，它允許惡意web用(yòng)戶将代碼植入到(d ₩ào)提供給其它用(yòng)戶使用(yòng)的(de)頁面中。

 
XSS攻擊有(yǒu)哪幾種類型？
 
常見(jiàn)的(de) XSS 攻擊有(yǒu)三種：反射型XSS攻擊、D‌→OM-based 型XXS攻擊以及存儲型XSS攻擊。
 
1.反射型XSS攻擊
 
反射型 XSS 一(yī)般是(shì)♦π攻擊者通(tōng)過特定手法（如(rú)電(diàn)✘≈子(zǐ)郵件(jiàn)），誘使用(yòng)戶去(qù)訪±‌問(wèn)一(yī)個(gè)包含惡意代碼的(de) URL，↑∏當受害者點擊這(zhè)些(xiē)專門(mén)設計(jì)的(d•☆εe)鏈接的(de)時(shí)候，惡意代碼會(huì)γ&✘↓直接在受害者主機(jī)上(shàng)的(de)浏覽器(q$↕★ì)執行(xíng)。反射型XSS通(tōng)常出現(→÷®xiàn)在網站(zhàn)的(de)搜索欄、用(yòng)戶登錄口等地(dìδ₩)方，常用(yòng)來(lái)竊取客戶端 Cookies 或進行↔♣♣≥(xíng)釣魚欺騙。
 
2.存儲型XSS攻擊
 
也(yě)叫持久型XSS，主要(yào)将♥®XSS代碼提交存儲在服務器(qì)端（數(shù)據庫，內(nèi λ≥)存，文(wén)件(jiàn)系統等），下(xià)♣ →次請(qǐng)求目标頁面時(shí)不(bù)用(yòng§₩•≠)再提交XSS代碼。當目标用(yòng)戶訪問(wèn)該頁面獲取數(±≤shù)據時(shí)，XSS代碼會(hu'ε"ì)從(cóng)服務器(qì)解析之後加載出來(lá★φ₽↑i)，返回到(dào)浏覽器(qì)做(zuò)正常的(de)HT£♣✔ML和(hé)JS解析執行(xíng)，XSS攻擊就(jiù)發生(shē↔£ng)了(le)。存儲型 XSS 一(yī←"±")般出現(xiàn)在網站(zhàn)留言、評論、博客÷ ®日(rì)志(zhì)等交互處，惡意腳本存儲到(dào)客戶端或者服務端÷"™≈的(de)數(shù)據庫中。
 
3.DOM-based 型XSS攻擊
 
基于 DOM 的(de) XSS 攻擊是(shì)指通(σ♥tōng)過惡意腳本修改頁面的(de) DOM 結構，是(shì)純粹發生ε±‌(shēng)在客戶端的(de)攻擊。DOM 型 XSS 攻擊中∏"÷，取出和(hé)執行(xíng)惡意代碼由浏覽器(<¥&♥qì)端完成，屬于前端 JavaScript ←$σ自(zì)身(shēn)的(de)安全漏洞。


 
如(rú)何防禦XSS攻擊？

1. 對(duì)輸入內(nèi)容的(de)特定字符進行(x₹₽≠íng)編碼，例如(rú)表示 html标記的(de) < &↓ε'gt; 等符号。 

2. 對(duì)重要(yào)的(de) cookie設置 ©¶→httpOnly, 防止客戶端通(tōng)過documeγ♦nt.cookie讀(dú)取 cookie，此 HTTP頭由服務端設≠™置。 

3. 将不(bù)可(kě)信的(de)值輸出♦≤≤ URL參數(shù)之前，進行(xíng) ≤÷←☆URLEncode操作(zuò)，而對(duì)©¥于從(cóng) URL參數(shù)中獲取值一(yī)定要(yào)進¶♠ε行(xíng)格式檢測（比如(rú)你(nǐ)需要(yà©‍♦o)的(de)時(shí)URL，就(jiù)判讀(dú)是(shì)否¶♣≥滿足URL格式）。 

4. 不(bù)要(yào)使用(yòng) Eval來(lái↕‌)解析并運行(xíng)不(bù)确定的(de)™​★數(shù)據或代碼，對(duì)于 JSON解析請(qǐng)§≠使用(yòng) JSON.parse() 方法‍§₹。 

5. 後端接口也(yě)應該要(y∞¥ào)做(zuò)到(dào)關鍵字符過濾的(de)₹α≥↔問(wèn)題。 

以上(shàng)，是(shì)小(xiǎo)墨給大(dà)家(jiā)♠♥>分(fēn)享的(de)關于XSS攻擊的(de)全部內(nèi)容，大(dà)π®•家(jiā)記得(de)收藏方便以後查看(kàn)哦。如(r<¶¥ ú)今，各種類型網絡攻擊日(rì)益頻(pín)繁，除了(le)→∞XSS攻擊之外(wài)，比較常見(jiàn)的(de)網λ₩←¥絡攻擊類型還(hái)包括DDoS攻擊、CC攻擊等，它們非常難以防禦，除了(÷Ω♠le)需要(yào)做(zuò)好(hǎo)日(rì)常網絡安全¥π≤防護之外(wài)，還(hái)需要(yào) ₹ε接入高(gāo)防服務，可(kě)以接入墨者盾高(g♦↑āo)防，通(tōng)過墨者盾高(gāo)•♥∏防隐藏源IP，對(duì)攻擊流量進行(xíng)清洗，保障企業(yè★™®>)網絡及業(yè)務的(de)正常運行(xíng)。

關于墨者安全

墨者安全緻力于安全防護、服務器(qì)高(gāo)防、'§€​網絡高(gāo)防、ddos防護、cc防護、dn€↕£σs防護、防劫持、高(gāo)防服務器(qφ ì)、高(gāo)防dns、網站(zhàn)防護等方面的(de)服務，≈π全網第一(yī)款指紋識别技(jì)術(shù)防火(huǒ)牆，自(σγ₹zì)研的(de)WAF指紋識别架構，提供任意CC和(hé)DDOS攻擊防​↕禦。