此文章主要闡述的是面對跨站腳本攻擊XSS的安全防御的相關(guān)建議，你如果對跨站腳本攻擊XSS的安全防御的相關(guān)建議有興趣的話你就可以點擊以下的文章進行觀看了，以下就是文章的詳細內(nèi)容介紹，望大家借鑒。

XSS攻擊作為Web業(yè)務(wù)的最大威脅，危害的不僅僅是Web業(yè)務(wù)本身，對訪問Web業(yè)務(wù)的用戶也會帶來直接的影響，如何防范和阻止XSS攻擊，保障Web站點的業(yè)務(wù)安全呢？

首先我們就要了解什么是XSS攻擊。

第 1 頁 面對跨站腳本攻擊XSS的安全防御建議

XSS攻擊作為Web業(yè)務(wù)的最大威脅之一，不僅危害Web業(yè)務(wù)本身，對訪問Web業(yè)務(wù)的用戶也會帶來直接的影響，如何防范和阻止XSS攻擊，保障Web站點的業(yè)務(wù)安全呢？首先我們就要了解什么是XSS攻擊。

一 什么是XSS攻擊：

XSS的全稱是Cross Site Scripting，意思是跨站腳本。這第一個單詞是Cross，為什么縮寫成X呢？因為CSS是層疊樣式表的縮寫(Cascading Style Sheets)的縮寫，同時Cross發(fā)音和X相似，為了避免混淆用X來代替,縮寫成XSS。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達到惡意用戶的特殊目的。XSS屬于被動式的攻擊，因為其被動且不好利用，所以許多人常呼略其危害性。

二 XSS的攻擊方式：

跨站攻擊有多種方式，由HTML語言允許使用腳本進行簡單交互，入侵者便通過技術(shù)手段在某個頁面里插入一個惡意HTML代碼--例如記錄論壇保存的用戶信息(Cookie)，由于Cookie保存了完整的用戶名和密碼資料，用戶就會遭受安全損失。當然，攻擊者有時也會在網(wǎng)頁中加入一些以.JS或.VBS為后尾名的代碼時，在我們?yōu)g覽時，同樣我們也會被攻擊到。

三 XSS攻擊的危害：

1、盜取各類用戶帳號，如機器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號

2、控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力

3、盜竊企業(yè)重要的具有商業(yè)價值的資料

4、非法轉(zhuǎn)賬

5、強制發(fā)送電子郵件

6、網(wǎng)站掛馬

7、控制受害者機器向其它網(wǎng)站發(fā)起攻擊

四 XSS攻擊漏洞：

XSS攻擊分成兩類，一類是來自內(nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語句，如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來來自外部的攻擊，主要指的自己構(gòu)造跨站腳本攻擊XSS跨站漏洞網(wǎng)頁或者尋找非目標機以外的有跨站漏洞的網(wǎng)頁。如當我們要滲透一個站點，我們自己構(gòu)造一個有跨站漏洞的網(wǎng)頁，然后構(gòu)造跨站語句，通過結(jié)合其它技術(shù)，如社會工程學(xué)等，欺騙目標服務(wù)器的管理員打開。

五 XSS的基本防御技術(shù)：

1、基于特征的防御：XSS漏洞和著名的SQL注入漏洞一樣，都是利用了Web頁面的編寫不完善，所以每一個漏洞所利用和針對的弱點都不盡相同。這就給XSS漏洞防御帶來了困難：不可能以單一特征來概括所有XSS攻擊。傳統(tǒng)XSS防御多采用特征匹配方式，在所有提交的信息中都進行匹配檢查。對于這種類型的XSS攻擊，采用的模式匹配方法一般會需要對"javascript"這個關(guān)鍵字進行檢索，一旦發(fā)現(xiàn)提交信息中包含"javascript"，就認定為XSS攻擊。這種檢測方法的缺陷顯而易見：駭客可以通過插入字符或完全編碼的方式躲避檢測：

躲避方法1)在javascript中加入多個tab鍵，得到

< IMG SRC="jav ascript:alert('XSS');" >;

躲避方法2) 在javascript中加入&#x09編碼字符，得到

< IMG SRC="javascript:alert('XSS');" >;

躲避方法3) 在javascript中加入

字符，得到

< IMG SRC="jav

ascript:alert('XSS');" >;

上述的相關(guān)內(nèi)容就是對面對跨站腳本攻擊XSS的安全防御建議的描述，希望會給你帶來一些幫助在此方面。