クロスサイトスクリプティング攻撃:ページ上で悪質なスクリプトを注入することで、ブラウザは、攻撃の目的を達成するために、正常に実行されます。
A、XSS攻撃の種類と原則
1.反射XSS攻撃
、悪意のあるコードは、ターゲットサーバーが返す非永続ターゲットサーバにアクセスするためのリンクをクリックするようユーザーを誘導社交性、インタラクティブ技術を使用して、ハッカーによる攻撃が、悪意のあるコードに埋め込まれたリンクであるとして、悪意のあるコードを実行して、ユーザーのブラウザ、攻撃の目的を達成するようになっています。
2.蓄積型XSS攻撃
、それが格納されているよう永続的な攻撃、悪意のあるハッカーがターゲットサーバにスクリプトを提出する、データベース内のターゲット・サーバーは、ときに、データへのユーザーアクセスは、ターゲットサーバーが悪質なスクリプトを実行するために、彼らの悪質なスクリプトをユーザーのブラウザに返します。 、攻撃の目的を達成するように。コンテンツ、ユーザーが攻撃されたデータへのアクセスは、危険が反射XSS攻撃よりもはるかに大きいです。
3. DOM XSS攻撃の種類
、非永続的な攻撃のバックエンドなしで、抜け穴のドキュメントオブジェクトモデルに基づいており、彼は引き金を制御するためのURLパラメータを通過させ、実際には、反射XSS攻撃に属します。
二、XSS攻撃の被害
XSS攻撃によっては、攻撃者がユーザーのクッキー情報だけでなく、いくつかのプライベートなデータを盗むことができます。
三つは、XSSは防衛攻撃
スクリプトの実行につながるすべてのコンテンツをフィルタリング、1.特殊文字をエスケープするすべてのユーザーが送信したコンテンツフィルタリング、URLフィルタのすべてのパラメータを、。
2.ユーザーのブラウザページ上の動的コンテンツの出力は、スクリプトがブラウザで実行できないように、HTMLコーディング。
3.設定されたセッションクッキーHTTP専用属性なので、クライアントは、スクリプトを使用してクッキーにアクセスすることはできません。
PHPでは、あなた予防XSS攻撃にデータをフィルタリングするために、次の機能を使用することができます。
strip_tags():削除HTMLタグは、元のデータの一部を保持しました。
htmlentities():いくつかの一般的なHTMLタグ同等の代替されているいくつかの文字を使用します。(&、」、」、<、>)
はhtmlspecialchars():それぞれの可能なエスケープHTMLタグの。