Skip to main content

跨站点脚本 (XSS)

相关错误

“此服务器易受跨站点脚本攻击。确保面向客户端 (JavaScript) 的数据安全且经过验证。”

问题

跨站点脚本是对使用 JavaScript 的脆弱的 Web 应用进行 web 攻击。攻击者会将数据撰写到文档对象模型 (DOM) 中的危险接收器,而不是显示常规 XSS 的 HTML 中,从而通过不安全或不受信任的来源向启用 JavaScript 的用户传送恶意内容。

当输入到 web 应用数据未进行验证,输出到浏览器的数据未使用 HTML 进行加密时,就会发生 XSS 攻击。

XSS 攻击成功后,攻击者可以:

  • 劫持帐户。

  • 扩散 web 表单。

  • 访问浏览器历史记录和剪贴板内容。

  • 远程控制浏览器。

  • 扫描和攻击内部网设备和应用。

解决方案

如需识别和阻止 web 应用中的 XSS 错误,请执行以下操作:

  1. 验证用户浏览器在 web 应用中输入的数据。

  2. 对从 Web 应用输出到用户浏览器的所有内容编码。

  3. 向用户提供禁用面向客户端的脚本的权限。

本节内容如下: