保护你站点避免脚本攻击

tcwt008

保护你站点避免脚本攻击
   大量积压u WEB2.0 的应用程序的核心都是用户贡献的内容。这些内容通常是以 HTML 形式收集显示的。 不幸得是重新显示用户的HTML 形式提交内容，会使你面临一种叫做站点脚本攻击（XSS）的安全隐患。

   跨站点脚本攻击根据它们存储和发送恶意代码到受害者的浏览器的方式， 可以被分为两种类型： 驻留型和反射型。
   驻留型： 攻击者的恶恶意代码存在于被攻击的 服务器上，显示消息的上下文中或者评论栏里。 比如说：当任何人访问网页的时候， 这些代码将显示， 他就可能使受害者。
  反射型： 临时显示的机制攻击， 比如出错字段（例如，你输入了非法数值）。 在这种跨站点脚本攻击中，攻击者通常会让一个无疑心的用户点击 邮件信息中的伪连接。这个伪链接来自于外部的一个被攻击的站点。最极端的跨站点脚本攻击时受害者加载一个自己认为安全的网页的时候，其实却将 session中的cookie 的内容发送到攻击者那里去了了。