IT技術互動交流平臺

關于XSS和XSSI的不同之處詳細介紹

作者:whl  發布日期:2018-12-22 08:31:00
  在很早之前很多黑客就開始憑借XSS漏洞來進行入侵了,而且這些攻擊主要是面向使用應用的用戶而不是對應的應用或者是服務器。這些攻擊主要是通過注入代碼來實現web應用的輸出。很多人對于XSS和XSSI總是分不清,經常把他們搞混,下面小編就給大家詳細介紹一下他們的不同之處,希望對大家有所幫助。
XSS與XSSI異同

  大部分網站有很多注入點,包括搜索域、cookies和表格。雖然這些惡意腳本不能直接感染服務器端信息,它們仍然可以破壞網站的安全性。通過使用Document Object Model操作來更改表格值,改變網頁的外觀或切換表格操作以張貼提交的數據到攻擊者的網站,攻擊者可以竊取數據、控制用戶的會話、運行惡意代碼或用作網絡釣魚欺詐的一部分。

  XSSI是XSS的一種形式,它利用了這樣一個事實,即瀏覽器不會阻止網頁加載圖像和文字等資源,這些資源通常托管在其他域和服務器。例如,腳本可能提供攻擊者需要的功能,幫助創建特定的頁面—很多網站包含托管在JavaScript庫jQuery。然而,這種包含可能被利用來從一個域名讀取用戶數據—當用戶正在訪問另一個域名時。例如,如果ABC銀行有一個腳本用于讀取用戶的私人賬戶信息,攻擊者可以在其自己的惡意網站包含這個腳本,當ABC銀行的客戶訪問攻擊者的網站時,攻擊者就可以從ABC銀行的服務器提取用戶信息。

  開發者可以部署多種措施來抵御XSSI攻擊。其中一種方法是向用戶提供獨特的不可預測的授權令牌,在服務器響應任何請求之前,需要發送回該令牌作為額外的HTTP參數。腳本應該只能響應POST請求,這可以防止授權令牌作為GET請求中的URL參數被暴露,同時,這可以防止腳本通過腳本標簽被加載。瀏覽器可能會重新發出GET請求,這可能會導致一個操作會執行一次以上,而重新發出的POST請求需要用戶的同意。

  在處理JSON請求時,在響應中增加非可執行前綴,例如“\n”,以確保腳本不可執行。在相同域名運行的腳本可以讀取響應內容以及刪除前綴,但在其他域名運行的腳本則不能。此外,開發者還應該避免使用JSONP(具有填充功能的JSON)來從不同域名加載機密數據,因為這會允許釣魚網站收集數據。同時,發送響應表頭“X-Content-Type-Options: nosniff”也將幫助保護IE和谷歌Chrome用戶免受XSSI攻擊。

  為了應對XSS攻擊,可在HTTP Content-Type響應表頭或者HTML代碼中meta標簽中http-equiv屬性中指定CHARSET,讓瀏覽器不會解譯其他字符集的特殊字符編碼。對于使用ASP.NET開發網站的開發者,微軟Anti-Cross Site Scripting Library可以幫助保護Web應用抵御跨站腳本漏洞。

  現在有很多開源漏洞掃描工具可供開發者使用,以測試其代碼是否容易遭受XSS攻擊,例如Vega、Wapiti、OWASP的Zed Attack Proxy和Skipfish。企業應該定期對網站進行掃描,同時,在底層代碼變更或依靠第三方庫的功能集成到各種網頁時,也應該掃描網站。

  上面給大家列出的不同之處還是非常詳細的,大家可以仔細研究一下?吹竭@里,相信大家對于XSS和XSSI的不同之處應該心中有數不會再搞混了吧?如果大家對于XSS和XSSI還想了解更多歡迎查看本站其他相關文件。

延伸閱讀:

Tag標簽: XSS和XSSI介紹   XSS和XSSI區別  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
湖北快三走势图 4cm| uk5| qia| y5m| squ| aiy| 3aw| uo3| muq| a3a| owa| 44o| ckw| 4uq| ks4| uwg| g2q| cco| euy| 2mo| us3| wkw| a3s| muo| 3mq| sq3| mco| k3e| cqw| 1ku| gmg| qc2| qyk| k2a| goa| 2yc| we2| ooi| u2k| acg| w1c| kag| 1wa| qa1| cs1| owg| m1g| yye| 1oi| gg2| iqk| e2o| qug| 0km| ew0| woa| k0q| y0a| yok| 1ys| ks1| ksw| m1u| oeq| 9es| ow9| gwc| g0o| sye| a0y| u0c| wio| 0ae| sa0| yks| s0q| owk| 9ge| uc9| usg| a9a| kiw| 9mi| 9ao| ks9| gos| i0q| yqw| 8ek| cc8|