淘先锋技术网

首页 1 2 3 4 5 6 7

昨天,在某个论坛看到一个帖子,某个网友给论坛进行了攻击。浏览某个帖子时就会弹出"只是来测试论坛有没有做攻击防护"的调皮字样,随后该问题被修复,帖子被删。我勾起了我的好奇,我查了有关知识。

简单来说就是跨站脚本攻击,在某个输入框或者URL添加脚本代码,保存到服务器上。比如论坛,每当被攻击的帖子被浏览时,脚本就会被执行。它可能会窃取cookie数据等,造成数据泄露,服务异常等。

示例,在某个帖子下留言<script>alert('niu bi a')</script>,该帖子被浏览时,这个脚本就会被执行弹出这个文字,如果是弹出cookies等数据,那就是泄露了。

解决办法,不信任客户端输入的任何数据,对客户端输入的数据进行判断处理,Html Encode, U r l Encode等,可能会被浏览器执行的<>转换成& l t  等,让浏览器能输出,但是不能执行。

我试了自己的几个本地项目,这个问题也存在。