软件安全教学课件（鲁宏伟）第二讲 Web编程安全.pptVIP

Web跨站脚本攻击 跨站脚本攻击的原理 跨站脚本攻击的危害 防范方法 跨站脚本攻击的原理 跨站脚本在英文中称为Cross-Site Scripting，缩写为CSS。但是，由于层叠样式表 (Cascading Style Sheets)的缩写也为CSS，为不与其混淆，特将跨站脚本缩写为XSS。 跨站脚本，顾名思义，就是恶意攻击者利用网站漏洞往Web页面里插入恶意代码，一般需要以下几个条件： 客户端访问的网站是一个有漏洞的网站，但是他没有意识到； 在这个网站中通过一些手段放入一段可以执行的代码，吸引客户执行(通过鼠标点击等)； 客户点击后，代码执行，可以达到攻击目的。 跨站脚本攻击的原理 XSS属于被动式的攻击。为了了解XSS，首先我们举一个简单的例子。有一个应用，负责进行书本查询， 代码query.jsp queryResult.jsp 跨站脚本攻击的原理 运行，效果如下：在文本框内输入查询信息，提交，能够到达queryResult.jsp显示结果。 运行query.jsp，输入正常数据，如“Java”： 提交，显示的结果是： 结果没有问题。但是该程序有漏洞。 跨站脚本攻击的原理 比如，客户输入“IFONT SIZE=7Java/FONT/I”： 查询显示的结果为： 该问题是网站对输入的内容没有进行任何标记检查造成的。打开qu