为了账号安全,请及时绑定邮箱和手机立即绑定
首页 免费课 Web安全-XSS 笔记

Web安全-XSS

快乐动起来呀 Web前端工程师
难度中级
时长 1小时20分
学习人数
综合评分9.47
84人评价 查看评价
9.5 内容实用
9.5 简洁易懂
9.4 逻辑清晰
最热 最新
  • 慕移动3658766
    encode.js:可以使用https://github.com/mathiasbynens/he 中的he.js domParse:可以用 https://github.com/blowsie/Pure-JavaScript-HTML5-Parser
    查看全部
    5 采集 收起 来源:掌握XSS的防范措施(反转义、DOM Parse)

    2017-10-30

  • 慕粉1901535335

    1、盗用cokkie,获取敏感信息 2、破坏正常的页面结构,插入恶意内容 3、利用flash,但是flash已经不常用了 4、实现DDoS攻击效果,分布式拒绝服务攻击 基本的DoS攻击:就是利用合理的客户端请求,占用过多的服务器资源,从而使合法的用户无法得到服务器的响应 当http request 的header过长的时候,web server 会产生一个400或者4开头的一个错误 如果,这些超长的数据保存在cookie中

    查看全部
    2 采集 收起 来源:区分并理解XSS攻击方式

    2018-07-12

  • qq_ww_40

    XSS攻击:跨站脚本攻击

    攻击类型:

        1、反射型:XSS 代码 -> URL -> 服务器 ->客户端

        2、存储型:XSS 代码 -> URL -> 服务器 ->数据库 -> 客户端

    查看全部
    1 采集 收起 来源:区分并理解XSS攻击方式

    2019-11-13

  • aSuncat

    一、

    1、用户输入过程,进行转译(客户端/服务端)。

    2、展示过程:反转译(domParse),文本转成dom对象,对dom进行配对,校验。

    if (tag ==='script' || tag === 'style' || tag === 'link' || tag === 'iframe' || tag === 'frame') return;
    //              for (var i = 0, len = attrs.length; i < len; i++) {
//                results += " " + attrs[i].name + '="' + attrs[i].escaped + '"';
//              } // 本来是展示属性,注释后就不显示属性,就屏蔽了onclick, alert等属性


    查看全部
    1 采集 收起 来源:掌握XSS的防范措施(过滤、校正)

    2018-12-26

  • aSuncat

    一、xss的防御措施

    1、编码:字符用转义字符显示。字符,十进制,转义字符

    2、过滤:(1)移除用户上传的dom属性,如onerror等。(2)移除哦用户上传的style节点、script节点、iframe节点。

    3、校正:(1)避免直接对html entity解码。(2)使用dom parse转换,校正不配对的dom标签。

    查看全部
    1 采集 收起 来源:XSS防范措施概述

    2018-12-26

  • 慕用8853562
    XSS 基本概念 跨域脚本攻击 cross-site scripting 攻击原理 攻击方式 在页面注入脚本并运行 反射型 两点条件: 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端 服务器端解析后响应,XSS代码随响应内容一起传回浏览器,最后浏览器解析执行XSS代码。 触发方式: 自动触发:通过img标签如: http://localhost:3000/?xss=<img src="null" onerror="alert(1)"/> 引诱触发:http://localhost:3000/?xss=<p onclick="alert(点我)">点我</p> iframe方式:http://localhost:3000/?xss=<iframe src="//baidu.com/t.html"></iframe>常用来插入广告之类的。 存储型 和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统),下次请求目标页时不用再提交XSS代码。 防御措施 第一步:编码 对用户输入的数据进行HTML Entity编码 第二步:过滤 移除用户上传的DOM属性,如onerror等 移除Style结点、Script节点、Iframe节点等 第三步:校正 避免直接对HTML Entity 解码 使用DOM Parse 转化,校正不配对的DOM标签
    查看全部
    3 采集 收起 来源:课程总结

    2018-03-22

  • 没有如果22 05:11
    3.反射型XSS:Xss出现在URL(比如search),发送给服务器,服务器解析并响应,将响应内容(可能包括这段XSS代码)回传给客户端,客户端解析并执行。类似于形成了一次反射。 4.存储型XSS:提交的代码会存储在服务器端,下次请求目标页面时不用再提交XSS代码
    查看全部
    1 采集 收起 来源:区分并理解XSS攻击方式

    2017-07-03

  • happyff
    讲得不错,听不懂
    查看全部
    1 采集 收起 来源:区分并理解XSS攻击方式

    2017-05-09

  • qq_向着光芒的女孩_0 17:23

    存储型XSS:

    存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码

    查看全部
    0 采集 收起 来源:区分并理解XSS攻击方式

    2020-03-15

  • qq_向着光芒的女孩_0 04:36

    反射型XSS:

    发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程就像一次反射,故叫反射性XSS


    查看全部
    0 采集 收起 来源:区分并理解XSS攻击方式

    2020-03-15

  • 公路不是鹿

    我写了两个Demo放到了github用于演示xss,欢迎大家按照注释参考;

    1 url示例演示反射xss https://github.com/BluesVN/learn-xss

    2 评论示例 https://github.com/BluesVN/xss-comment

    查看全部
    0 采集 收起 来源:掌握XSS的防范措施(过滤、校正)

    2019-10-31

  • qfdzxx 16:22

    存储型攻击

    查看全部
    0 采集 收起 来源:区分并理解XSS攻击方式

    2019-09-02

  • qfdzxx 02:40

    反射型攻击

    查看全部
    0 采集 收起 来源:区分并理解XSS攻击方式

    2019-09-02

  • 张小锐1 07:51

    xss防御

    查看全部
    0 采集 收起 来源:XSS防范措施概述

    2019-08-01

  • 慕标3395159 08:34

    xss防御措施,校正

    查看全部
    0 采集 收起 来源:XSS防范措施概述

    2019-06-03

首页上一页1234567下一页尾页

举报

0/150
提交
取消
该课程已下架
课程须知
1、了解基础的html、css、js
老师告诉你能学到什么?
1、什么是XSS 2、XSS的原理是什么 3、XSS常见的攻击手段是什么 4、图解XSS攻击 5、对XSS见招拆招,做好防御 6、做一个项目演练攻击和防御,充分体会XSS防御的措施和重要性

微信扫码,参与3人拼团

意见反馈 帮助中心 APP下载
官方微信
友情提示:

您好,此课程属于迁移课程,您已购买该课程,无需重复购买,感谢您对慕课网的支持!

查看已购买的课程