跨網站指令碼 (XSS)
相關錯誤
"此伺服器難以抵禦跨網站指令集攻擊。確定用戶端 (JavaScript) 資料安全並已驗證。"
問題
跨網站指令碼是對使用 JavaScript 對脆弱的 Web 應用程式進行的 Web 攻擊。惡意內容透過編寫資料到 Document Object Model (文件物件模型,簡稱 DOM) 內的危險陷阱中 (而不是提供定期 XSS 的 HTML 中),經由不安全或不受信任的來源傳送給啟用 JavaScript 的使用者。
XSS 攻擊發生在輸入網頁應用程式的資料未驗證,輸出到瀏覽器的資料未在 HTML 中編碼。
當 XSS 攻擊成功時,攻擊者可以:
駭入帳戶中。
散播 Web 蠕蟲。
存取瀏覽器歷史記錄和剪貼簿內容。
遠端控制瀏覽器。
掃描和入侵內部網路設備和應用程式。
解決方案
若要在網頁應用程式中識別和防止 XSS 錯誤:
請在網頁應用程式中驗證使用者瀏覽器輸入的資料。
從網頁應用程式中將對使用者瀏覽器的所有輸出編碼。
提供使用者停用用戶端指令碼的能力。