浅谈XSS安全防范

gclome

原文链接：浅谈XSS安全防范

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。en...en...就这么个意思


  xss分为三种类型，分别有反射型、存储型(持久型)、dom型。反射型是不存放在数据库，需要每次构造。存储型是存放在数据库，需要插入到数据库。dom型就是前端的，没有和服务器交互。

一般存在于留言框、搜索框、信息发布、地址填写框等功能模块。那么常见攻击行为

1、钓鱼恶意弹窗
​
2、定位索取
​
3、cookie盗取
​
        当在网页查看代码时，会发现加载了js文件，造成恶意攻击。并且有些xss攻击，能使网站功能模块失效，导致崩溃。
常见防范xss攻击手段，一般常见有以下几个方法

1. 输入时进行过滤，如script、img、<、src等，使无法执行js脚本
   
2. 输出时进行转义、将<、=、等符号进行转义，使无法执行js脚本   
   
3. 使用安全狗、D盾、云锁等第三方软件防护。
   
4. 使用http_only防止盗取cookie

复制代码

   
    http_only能有效防范cookie盗取，但是弹窗那个仍旧会出现。

设置http_only有两种方法

方法一：在php.ini配置文件中进行cookie只读设置的开启

1. session.cookie_httponly = On

复制代码

方法二：在php代码顶部设置

1. ini_set("session.cookie_httponly", 1);
   
2. #（php5.1以前版本设置方法：header("Set-Cookie: hidden=value; httpOnly");）

复制代码

可以防止cookie盗取，测试设置后的xss攻击截图
​
可以看到cookie为空了。