防止跨站攻击..docVIP

当攻击者向动态表单引入恶意脚本以便获取私人会话信息时，就会发生跨站点脚本攻击（XSS）。在本文中，Anand K. Sharma 揭示了容易受 XSS 攻击的领域，解释了用户如何进行自我保护，以及站点管理员如何才能保护站点免受这类恶意入侵。 大多数现有的浏览器都能解释和执行来自 Web 服务器的嵌入到 Web 页面下载部分的脚本（用 JavaScript、JScript、VBScript 等脚本语言创建）。当攻击者向用户提交的动态表单引入恶意脚本时，就会产生跨站点脚本 (XSS) 攻击。 XSS 攻击会导致不良后果。例如攻击者将能够获取会话信息，窃取 ID、密码、信用卡信息、家庭住址和电话、社会保险/税 ID 等用户的隐私资料。如果目标 Web 站点不检查这类恶意代码，就可能造成恶意使用用户信息。 为了让脚本不被识别为恶意脚本，攻击者会用不同的编码方法对其进行编码，比如使用 HEX。通过这种方法，Web 站点就会像显示站点中的有效内容一样在页面上显示恶意内容。如果 Web 应用程序没有验证输入，攻击者只需诱导用户选择恶意链接，然后 Web 应用程序就会从用户那里收集机密信息。这就让攻击者就能够获取用户会话信息并窃取用户凭证，重定向到另一个 Web 站点上的网页，然后插入恶意代码来破坏 cookie、公开 SSL 连接、访问受限或私人站点，甚至触发一系列这样的攻击。 要阻止这类攻击的