什(shén)麽是(shì)XSS攻擊？如(rú)何防α$π禦XSS攻擊？

大(dà)家(jiā)經常聽(tīng)♥↔到(dào)XSS攻擊這(zhè)個(gè)γπ≈←詞，那(nà)麽XSS攻擊到(dào)底是(sh§≤ ₩ì)什(shén)麽，以及如(rú)何防禦大(dà)家(φ$™×jiā)清楚麽？今天，小(xiǎo)墨就(jiù)給大(dà)家(jiā)講一€✔α(yī)下(xià)：XSS攻擊的(de)定 λ ↓義、類型以及防禦方法。
 
什(shén)麽是(shì)XSS攻擊？
 
XSS攻擊全稱跨站(zhàn)腳本攻擊，是(←∏shì)一(yī)種在web應用(yòng)中的π∑(de)計(jì)算(suàn)機(jī)安全漏洞，它φ¶允許惡意web用(yòng)戶将代碼植入到(dào)'↓"♦提供給其它用(yòng)戶使用(yòng)的(de)頁面中。 XSS攻擊有(yǒu)哪幾種類型？
 
常見(jiàn)的(de) XSS 攻擊有(yǒu←♦)三種：反射型XSS攻擊、DOM-based 型X&•★$XS攻擊以及存儲型XSS攻擊。
 
1.反射型XSS攻擊
 
反射型 XSS 一(yī)般是(shì)攻擊者通✘₽¶♦(tōng)過特定手法（如(rú)電(diàn)子(zǐ)郵件(jiàn)），Ω♥≤誘使用(yòng)戶去(qù)訪問(wèn)一(yī∞← ≈)個(gè)包含惡意代碼的(de) URL，當受害者點擊這λ♠∑(zhè)些(xiē)專門(mén)設計(jì)的(de)鏈接的(de)時(sγ♦hí)候，惡意代碼會(huì)直接在受害者主機(jī)上(sh£≤àng)的(de)浏覽器(qì)執行(xíng)。反射型XSS通∑∞₽$(tōng)常出現(xiàn)在網站(zhà©×n)的(de)搜索欄、用(yòng)戶登錄口等地(dì¶↑÷)方，常用(yòng)來(lái)竊取客戶端 Cookies 或進行(xíng÷∑)釣魚欺騙。
 
2.存儲型XSS攻擊
 
也(yě)叫持久型XSS，主要(yào)将XSS代碼提交存儲↔ε↑在服務器(qì)端（數(shù)據庫，內(nèi)存，文(wén)±ε件(jiàn)系統等），下(xià)次請(qǐn¥∑δg)求目标頁面時(shí)不(bù)用(yòn‌§g)再提交XSS代碼。當目标用(yòng)戶訪¶₽‍問(wèn)該頁面獲取數(shù)據時(shí)，XSSεεΩ代碼會(huì)從(cóng)服務器(qìαα∞)解析之後加載出來(lái)，返回到(dào)浏♣γ覽器(qì)做(zuò)正常的(de)HTML和(hé)JS→☆&解析執行(xíng)，XSS攻擊就(jiù)發生(shēng)σ‍★了(le)。存儲型 XSS 一(yī)般出現(x$‍≤→iàn)在網站(zhàn)留言、評論、博客日(rì)志(zhì)等交©‌​互處，惡意腳本存儲到(dào)客戶端或者服務端的(de)★$¥¶數(shù)據庫中。
 
3.DOM-based 型XSS攻擊
 
基于 DOM 的(de) XSS 攻擊是(shì)指通(tōng)₩γ過惡意腳本修改頁面的(de) DOM 結構，是(shì)純粹發生(±§σshēng)在客戶端的(de)攻擊。DOM 型 XSS 攻擊中，取出和(h"Ω∞é)執行(xíng)惡意代碼由浏覽器(qì)端完成，屬于前端 JavaSc¥•©σript 自(zì)身(shēn)的(de)安全漏洞。


 
如(rú)何防禦XSS攻擊？

1. 對(duì)輸入內(nèi)容的(de)特定字符進行←β(xíng)編碼，例如(rú)表示 html标記的(de) &l±✔ ≠t; > 等符号。 

2. 對(duì)重要(yào)的(de) cookie設置☆≥σ> httpOnly, 防止客戶端通(tōng)過d‍±↔ocument.cookie讀(dú)取 cookie¥₽，此 HTTP頭由服務端設置。 

3. 将不(bù)可(kě)信的(de)值輸出 URL參數(shù)之前≥♥γ，進行(xíng) URLEncode操作(zuò)，而對(duì)★→©于從(cóng) URL參數(shù)中獲取值一(yī)定要(yào)進≠₹&₩行(xíng)格式檢測（比如(rú)你(nǐ)需要(yào)的<®(de)時(shí)URL，就(jiù)判讀(dú)是(shì)否滿足U£"∞•RL格式）。 

4. 不(bù)要(yào)使用(yòng) Eδ←£ val來(lái)解析并運行(xíng)不(≤↓≈bù)确定的(de)數(shù)據或代碼，對(duì)于 JSON解析請 &★γ(qǐng)使用(yòng) JSON.par♣✘₽se() 方法。 

5. 後端接口也(yě)應該要(yào)做(zuò)到(dào)關鍵字€‌β♦符過濾的(de)問(wèn)題。&nbs±∞"p;

以上(shàng)，是(shì)小(xiǎo≈≠←₹)墨給大(dà)家(jiā)分(fēn)享的(de)關于XSS攻擊的(γ'≈de)全部內(nèi)容，大(dà)家(jiā)φ★→Ω記得(de)收藏方便以後查看(kàn)哦。λπ如(rú)今，各種類型網絡攻擊日(rì)益頻(pín)繁，除★>★₹了(le)XSS攻擊之外(wài)，比較常見(jiàn)的(de•'​)網絡攻擊類型還(hái)包括DDoS攻擊、CC攻擊等，它們非常難以防禦，除了(le)需要(yào)做(zuò)好(h βǎo)日(rì)常網絡安全防護之外(wài)，還(hái)需要(yào)接§☆≥入高(gāo)防服務，可(kě)以接入墨者盾高(gāo)防，通(tō'₽ng)過墨者盾高(gāo)防隐藏源IP，對(duì)攻擊流量進行(xíng₹→)清洗，保障企業(yè)網絡及業(yè)務的(de)正​≤常運行(xíng)。

關于墨者安全

墨者安全緻力于安全防護、服務器(qì)高(gāo)防、網絡高(↕&®gāo)防、ddos防護、cc防護、dns防護、防劫持、高(gāo)防服務器(& ≤qì)、高(gāo)防dns、網站(zhàn)防護等方面的(de)服務，全網第Ω£§•一(yī)款指紋識别技(jì)術(shù)防火(huǒ)牆，自(z✘♦ ì)研的(de)WAF指紋識别架構，提供任意CC和(hé)DDoS攻擊防禦。