XSS可以分成几类?该如何进行防范?老男孩网络安全培训学校

老男孩IT教育

常见问题

2022年10月21日 14:53

网络安全攻击方式有很多种，其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么？XSS攻击有哪几种类型？以下是详细的内容。

网络安全培训机构

XSS可以分为三类：

反射型XSS(非持久型)发出请求时，XSS代码出现在URL中，作为输入提交到服务器端，服务器端解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。这个过程像一次反射，故叫反射型XSS。

存储型XSS(持久型)存储型XSS和反射型XSS的差别仅在于，提交的代码会存储在服务器端（数据库，内存，文件系统等），下次请求目标页面时不用再提交XSS代码。

DOM XSS(客户端)DOM XSS和反射型XSS、存储型XSS的差别在于DOM XSS的代码并不需要服务器参与，触发XSS靠的是浏览器端的DOM解析，完全是客户端的事情。

XSS的防御措施：

过滤转义输入输出；

避免使用eval、new Function等执行字符串的方法，除非确定字符串和用户输入无关；

使用cookie的httpOnly属性，加上了这个属性的cookie字段，js是无法进行读写的；

使用innerHTML、document.write的时候，如果数据是用户输入的，那么需要对象关键字符进行过滤与转义。

网络安全培训班正在招生中，更多网络安全课程信息，欢迎咨询老男孩教育在线客服，可免费申请试听学习视频和教学大纲，了解网络安全学习路线。

　　推荐阅读：

SSL证书7大常见错误及解决办法!老男孩网络安全培训学校

本文经授权发布，不代表老男孩教育立场。如若转载请联系原作者。

扫码加入网络安全学院讨论学习群