XSS ataca código de prueba
El ataque principal es la obtención de información en el servidor de la galleta por escribir en el cuadro de entrada, por lo que acceder a su servidor,
El principio es el valor introducido por el ataque delante de la palabra clave, a continuación, estos valores se almacenan en un servidor de fondo de base de datos a través de la recuperación de los pares de valores clave, desencadenando de ese modo obtener la información de la galleta servidor.
Por lo tanto, los extremos delantero y trasero para ser procesados caracteres especiales, no para entrar en las etiquetas especiales, como <script>, etiquetas HTML u otros códigos de caracteres especiales
1. Obtener la cookie del usuario
<Script> Alerta (document.cookie) </ script>
οnclick = alerta (document.cookie)
2. interrumpir el diseño de página
<Iframe src = "http://baidu.com"> </ iframe>
<Script> alert ( "hola") </ script>
3. Introduzca los parámetros de la secuencia de comandos páginas enlazan / js entrada de secuencia de comandos en el cuadro de entrada
correcciones de errores XSS
Principio: No creo que los datos introducidos por el cliente
Nota: El código de ataque no está necesariamente en la <script> </ script> en
La cookie importante está marcado, sólo HTTP, por lo que en la declaración document.cookie Javascript no se puede llegar a la cookie.
Las necesidades de los usuarios a procesamiento de la entrada, que sólo esperan que permiten al usuario introducir datos, otros valores y no se filtrarán. Por ejemplo: la edad de texto, sólo permite al usuario introducir un número. Los caracteres que no sean números son filtrados.
procesamiento de datos HTML Encode
Html filtración o eliminación de una etiqueta en particular, por ejemplo: <script>, <iframe>, & lt; para <, & gt; para> & quot para
Filtrado de pestañas JavaScript eventos. Por ejemplo, "οnclick =", "onfocus" y similares.