A:XSSのクロスサイトスクリプティング攻撃
ユーザーのCookie情報、セッションハイジャックと他の行為を盗む達成するように、(1)悪意のある攻撃者は、ユーザーがWebを閲覧することができ、ページをWBEする悪意のあるコード(HTMLタグ、JavaScriptコード)を挿入するために、HTMLの悪質なコードが実行されます。
(2)カテゴリー
1.DOMのXSS:テキストオブジェクトモデル、動的にアクセスし、ドキュメントを更新するためのプログラムやスクリプトの直接DOMのコンテンツ、構造およびスタイルを可能にします。サーバが直接XSS DOM解析ブラウザによってトリガ応答に関与し解析する必要はありません、あなたは、これは完全にブラウザの事であると考えることができます。
2.反射XSS:反射XSSも非永続的XSSとして知られているが、XSSの脆弱性は、現在発生する可能性が最も高いです。要求が行われ、XSSコードがURLに表示され、サーバーに送信最後に入力して、サーバはこのXSSコードが応答の内容に表示されて解析し、ブラウザが最後の実行を解析します。
3.ストレージタイプXSS:ストレージタイプXSSはまた、彼は反射XSSとDOM XSSのタイプに比べて、クロスサイトスクリプティング攻撃の最も危険な種類で、永続的なXSSとして知られている高い隠された、とても大きな害を持っています、彼は最も典型的な例の一つは、メッセージボードで、攻撃者は、すべてのブラウザがページがXSSなり訪れたときにXSSのコードの期間は、サーバによって受信され、保存されている送信するときに手動でトリガするユーザーを必要としません。
(3)ハザード
ユーザー情報を盗むために偽の入力フォームの使用1
2.ユーザーのCookie値を盗むために、スクリプトを使用してください。
(4)防衛
1.設定されたCookie内のHttpOnly属性は、クッキーjsのスクリプトは、情報を読み取ることができません。(バックグラウンドで設定します)
2. evalの実行文字列を使用しないでください
ライン、フィルタータグと同様に、エスケープ文字による3式の検証入力。