跨站点脚本 (XSS)
相关错误
“此服务器易受跨站点脚本攻击。确保面向客户端 (JavaScript) 的数据安全且经过验证。”
问题
跨站点脚本是对使用 JavaScript 的脆弱的 Web 应用进行 web 攻击。攻击者会将数据撰写到文档对象模型 (DOM) 中的危险接收器,而不是显示常规 XSS 的 HTML 中,从而通过不安全或不受信任的来源向启用 JavaScript 的用户传送恶意内容。
当输入到 web 应用数据未进行验证,输出到浏览器的数据未使用 HTML 进行加密时,就会发生 XSS 攻击。
XSS 攻击成功后,攻击者可以:
劫持帐户。
扩散 web 表单。
访问浏览器历史记录和剪贴板内容。
远程控制浏览器。
扫描和攻击内部网设备和应用。
解决方案
如需识别和阻止 web 应用中的 XSS 错误,请执行以下操作:
验证用户浏览器在 web 应用中输入的数据。
对从 Web 应用输出到用户浏览器的所有内容编码。
向用户提供禁用面向客户端的脚本的权限。