Skip to main content

跨網站指令碼 (XSS)

相關錯誤

"此伺服器難以抵禦跨網站指令集攻擊。確定用戶端 (JavaScript) 資料安全並已驗證。"

問題

跨網站指令碼是對使用 JavaScript 對脆弱的 Web 應用程式進行的 Web 攻擊。惡意內容透過編寫資料到 Document Object Model (文件物件模型,簡稱 DOM) 內的危險陷阱中 (而不是提供定期 XSS 的 HTML 中),經由不安全或不受信任的來源傳送給啟用 JavaScript 的使用者。

XSS 攻擊發生在輸入網頁應用程式的資料未驗證,輸出到瀏覽器的資料未在 HTML 中編碼。

當 XSS 攻擊成功時,攻擊者可以:

  • 駭入帳戶中。

  • 散播 Web 蠕蟲。

  • 存取瀏覽器歷史記錄和剪貼簿內容。

  • 遠端控制瀏覽器。

  • 掃描和入侵內部網路設備和應用程式。

解決方案

若要在網頁應用程式中識別和防止 XSS 錯誤:

  1. 請在網頁應用程式中驗證使用者瀏覽器輸入的資料。

  2. 從網頁應用程式中將對使用者瀏覽器的所有輸出編碼。

  3. 提供使用者停用用戶端指令碼的能力。