日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
XSS與XSSI區(qū)別何在?

跨站腳本(XSS)和跨站腳本包含(XSSI)之間的區(qū)別是什么?防御方法有什么不同?

在巨野等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局,加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力,以專注、極致的服務(wù)理念,為客戶提供成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作 網(wǎng)站設(shè)計(jì)制作定制網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計(jì),成都全網(wǎng)營(yíng)銷,成都外貿(mào)網(wǎng)站建設(shè),巨野網(wǎng)站建設(shè)費(fèi)用合理。

Michael Cobb:自上世紀(jì)90年代,攻擊者就已經(jīng)開(kāi)始利用XSS漏洞,并且,最主要的網(wǎng)站(例如谷歌、雅虎和Facebook)都在一定程度上受到過(guò)XSS漏洞的影響。與大多數(shù)應(yīng)用層攻擊(例如SQL注入),基于XSS的攻擊會(huì)攻擊應(yīng)用的用戶,而不是應(yīng)用或服務(wù)器。這些攻擊的工作原理是注入代碼(通常例如JavaScript客戶端腳本)到Web應(yīng)用的輸出。大部分網(wǎng)站有很多注入點(diǎn),包括搜索域、cookies和表格。雖然這些惡意腳本不能直接感染服務(wù)器端信息,它們?nèi)匀豢梢云茐木W(wǎng)站的安全性。通過(guò)使用Document Object Model操作來(lái)更改表格值,改變網(wǎng)頁(yè)的外觀或切換表格操作以張貼提交的數(shù)據(jù)到攻擊者的網(wǎng)站,攻擊者可以竊取數(shù)據(jù)、控制用戶的會(huì)話、運(yùn)行惡意代碼或用作網(wǎng)絡(luò)釣魚(yú)欺詐的一部分。

XSSI是XSS的一種形式,它利用了這樣一個(gè)事實(shí),即瀏覽器不會(huì)阻止網(wǎng)頁(yè)加載圖像和文字等資源,這些資源通常托管在其他域和服務(wù)器。例如,腳本可能提供攻擊者需要的功能,幫助創(chuàng)建特定的頁(yè)面—很多網(wǎng)站包含托管在https://developers.google.com/speed/libraries/#jquery的JavaScript庫(kù)jQuery。然而,這種包含可能被利用來(lái)從一個(gè)域名讀取用戶數(shù)據(jù)—當(dāng)用戶正在訪問(wèn)另一個(gè)域名時(shí)。例如,如果ABC銀行有一個(gè)腳本用于讀取用戶的私人賬戶信息,攻擊者可以在其自己的惡意網(wǎng)站(www.fraudulentbank.com)包含這個(gè)腳本,當(dāng)ABC銀行的客戶訪問(wèn)攻擊者的網(wǎng)站時(shí),攻擊者就可以從ABC銀行的服務(wù)器提取用戶信息。

開(kāi)發(fā)者可以部署多種措施來(lái)抵御XSSI攻擊。其中一種方法是向用戶提供獨(dú)特的不可預(yù)測(cè)的授權(quán)令牌,在服務(wù)器響應(yīng)任何請(qǐng)求之前,需要發(fā)送回該令牌作為額外的HTTP參數(shù)。腳本應(yīng)該只能響應(yīng)POST請(qǐng)求,這可以防止授權(quán)令牌作為GET請(qǐng)求中的URL參數(shù)被暴露,同時(shí),這可以防止腳本通過(guò)腳本標(biāo)簽被加載。瀏覽器可能會(huì)重新發(fā)出GET請(qǐng)求,這可能會(huì)導(dǎo)致一個(gè)操作會(huì)執(zhí)行一次以上,而重新發(fā)出的POST請(qǐng)求需要用戶的同意。

在處理JSON請(qǐng)求時(shí),在響應(yīng)中增加非可執(zhí)行前綴,例如“\n”,以確保腳本不可執(zhí)行。在相同域名運(yùn)行的腳本可以讀取響應(yīng)內(nèi)容以及刪除前綴,但在其他域名運(yùn)行的腳本則不能。此外,開(kāi)發(fā)者還應(yīng)該避免使用JSONP(具有填充功能的JSON)來(lái)從不同域名加載機(jī)密數(shù)據(jù),因?yàn)檫@會(huì)允許釣魚(yú)網(wǎng)站收集數(shù)據(jù)。同時(shí),發(fā)送響應(yīng)表頭“X-Content-Type-Options: nosniff”也將幫助保護(hù)IE和谷歌Chrome用戶免受XSSI攻擊。

為了應(yīng)對(duì)XSS攻擊,可在HTTP Content-Type響應(yīng)表頭或者HTML代碼中meta標(biāo)簽中http-equiv屬性中指定CHARSET,讓瀏覽器不會(huì)解譯其他字符集的特殊字符編碼。對(duì)于使用ASP.NET開(kāi)發(fā)網(wǎng)站的開(kāi)發(fā)者,微軟Anti-Cross Site Scripting Library可以幫助保護(hù)Web應(yīng)用抵御跨站腳本漏洞。

現(xiàn)在有很多開(kāi)源漏洞掃描工具可供開(kāi)發(fā)者使用,以測(cè)試其代碼是否容易遭受XSS攻擊,例如Vega、Wapiti、OWASP的Zed Attack Proxy和Skipfish。企業(yè)應(yīng)該定期對(duì)網(wǎng)站進(jìn)行掃描,同時(shí),在底層代碼變更或依靠第三方庫(kù)的功能集成到各種網(wǎng)頁(yè)時(shí),也應(yīng)該掃描網(wǎng)站。


網(wǎng)站欄目:XSS與XSSI區(qū)別何在?
分享URL:http://www.dlmjj.cn/article/dhecdhh.html