备案的时候网站名称,app和网站开发人员工作职责,大连最新发布,张家界市网站建设设计欢迎关注公众号【测试开发备忘录】#xff0c;交流学习经验 XSS 类型#xff1a; 反射型XSS#xff1a;简单的把用户输入的数据“反射”给浏览器#xff0c;将恶意链接嵌入#xff0c;非持久#xff1b; 存储型XSS#xff1a;把用户输入的数据“存储”在服务端#xf… 欢迎关注公众号【测试开发备忘录】交流学习经验 XSS 类型 反射型XSS简单的把用户输入的数据“反射”给浏览器将恶意链接嵌入非持久 存储型XSS把用户输入的数据“存储”在服务端比如写了一篇含恶意js代码的博客发表持久 DOM Based XSS XSS Payload cookie劫持 js模拟get/post等 XSS钓鱼 识别用户浏览器 识别用户安装的软件 CSS History Hack 获取用户的真实IP地址 XSS 攻击平台 Attack API BeEF XSS-Proxy XSS Wrom samy wrom 需要具备的能力 javascript js调试工具 Firebug IE 8 Developer Tools Fiddler HttpWatch XSS构造技巧 利用字符编码 绕过长度限制 使用标签 windows.name Flash XSS 使用js框架可能产生XSS XSS防御 HttpOnly解决XSS后的cookie劫持禁止页面的js访问带有httponly属性的cookie cookie使用过程 浏览器向服务器发送请求 服务器返回时发送Set-Cookie头向客户端浏览器写入Cookie 在该Cookie到期前浏览器访问该域下所有页面都将发送该Cookie 输入检查效果一般 输出检查 安全的编码函数 XSS本质XSS本质还是一种“HTML注入”用户的数据被当成html代码的一部分来执行从而混淆了原本的语义产生了新的语义。
