跨站脚本

✍ dations ◷ 2025-09-13 22:45:04 #网络安全,注入漏洞,Web安全漏洞

跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

当网景(Netscape)最初推出JavaScript语言时,他们也察觉到准许网页服务器发送可执行的代码给一个浏览器的安全风险(即使仅是在一个浏览器的沙盒里)。它所造成的一个关键的问题在于用户同时开启多个浏览器视窗时,在某些例子里,网页里的片断代码被允许从另一个网页或对象取出资料,而因为恶意的网站可以用这个方法来尝试窃取机密信息,所以在某些情形,这应是完全被禁止的。为了解决这个问题,浏览器采用了同源决策——仅允许来自相同域名系统和使用相同协议的对象与网页之间的任何交互。这样一来,恶意的网站便无法借由JavaScript在另一个浏览器窃取机密资料。此后,为了保护用户免受恶意的危害,其他的浏览器与服务端指令语言采用了类似的访问控制决策。

XSS漏洞可以追溯到1990年代。大量的网站曾遭受XSS漏洞攻击或被发现此类漏洞,如Twitter,Facebook,MySpace,Orkut,新浪微博和百度贴吧。研究表明,最近几年XSS已经超过缓冲区溢出成为最流行的攻击方式,有68%的网站可能遭受此类攻击。根据开放网页应用安全计划(Open Web Application Security Project)公布的2010年统计数据,在Web安全威胁前10位中,XSS排名第2,仅次于代码注入(Injection)。

Cross-site scripting的英文首字母缩写本应为CSS,但因为CSS在网页设计领域已经被广泛指层叠样式表(Cascading Style Sheets),所以将Cross(意为“交叉”)改以交叉形的X做为缩写。但早期的文件还是会使用CSS表示Cross-site scripting。

通常有一些方式可以测试网站是否有正确处理特殊字符:

攻击者使被攻击者在浏览器中执行脚本后,如果需要收集来自被攻击者的数据(如cookie或其他敏感信息),可以自行架设一个网站,让被攻击者通过JavaScript等方式把收集好的数据作为参数提交,随后以数据库等形式记录在攻击者自己的服务器上。

常用的XSS攻击手段和目的有:

避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤:

很多时候可以使用HTTP头指定内容的类型,使得输出的内容避免被作为HTML解析。如在PHP语言中使用以下代码:

<?php   header('Content-Type: text/javascript; charset=utf-8');?>

即可强行指定输出内容为文本/JavaScript脚本(顺便指定了内容编码),而非可以引发攻击的HTML。

包括Internet Explorer、Mozilla Firefox在内的大多数浏览器皆有关闭JavaScript的选项,但关闭功能并非是最好的方法,因为许多网站都需要使用JavaScript语言才能正常运作。通常来说,一个经常有安全更新推出的浏览器,在使用上会比很久都没有更新的浏览器更为安全。

相关

  • 狂犬病毒狂犬病(拉皮斯病,俗称疯狗症,字根来自拉丁语:rabies,意为“疯狂”)是一种由狂犬病病毒引起之人畜共患病,可于恒温动物身上造成严重脑炎。没有接受疫苗免疫的感染者,当神经症状出现后
  • 发酵 (葡萄酒)发酵是葡萄酒酿制的一个重要过程,通过这一过程可以让葡萄汁转变为酒精饮料。这一过程中葡萄酒里的酵母和糖相互作用产生乙醇和二氧化碳。未发酵时葡萄汁中的氧气含量和温度等
  • 卡尔·恩斯特·冯·贝尔卡尔·恩斯特·冯·贝尔(德语:Karl Ernst von Baer 1792年2月28日-1876年11月28日)波罗的海德意志人科学家、探险家,贝尔还是博物学家、生物学家、地质学家、气象学家和地理学家
  • 市场花园行动波兰:波兰第1旅:378人伤亡 大英帝国 英国第1空降师:1,300人阵亡约4,500人被俘 英国第2军团:3,716人—5,354人伤亡 英国皇家空军第38及46大队:294人伤亡 美国 美国陆军航空军第9
  • 澎湖群岛澎湖群岛,亦称澎湖列岛,是位于台湾海峡上的一组群岛,东距台湾本岛约50公里,西离中国大陆约140公里,由90个大小岛屿组成,总面积约为128平方公里,全境均隶属中华民国台湾省澎湖县管辖
  • German Federal Ministry of Justice联邦司法和消费者保护部(德语:Bundesministerium der Justiz und für Verbraucherschutz,简称为BMJV)是德国的联邦部委之一。在德国联邦制度之下,各联邦州须负起司法行政与处罚
  • 氯化铷氯化铷是一个碱金属卤化物,化学式为RbCl。这个无机盐在电化学和分子生物学等领域中有不同的应用。在气态时,RbCl为双原子分子,键长约2.7868 Å。呈立方晶系时键长增长为3.285
  • 匈奴超地体匈奴超地体(Hunic superterrane)是一个地质史上的超地体,现在附着于欧亚大陆。 奥陶纪末志留纪初,从冈瓦纳大陆分离下来,向北移动,于石炭纪初的华西里造山运动(英语:Variscan orogen
  • 柯沙·荣格·雷亚玛吉柯沙·荣格·雷亚玛吉(英语:Keshar Jung Rayamajhi,1919年-2012年12月17日)尼泊尔政治家,尼泊尔共产党派系的领导人,亲苏派主要的代表人物,晚年思想日趋保守,成为一名保皇主义者。雷
  • Pop/Stars《POP/STARS》是游戏英雄联盟推出的数字单曲,词曲皆由Riot Games音乐队队制作完成,于2018年11月4日透过各大数字音乐网站公开在线音源。“K/DA”是Riot Games推出的女子音乐组