当前位置: 首页 > news >正文

哪里有做直销网站的东莞疫情最新消息今天

哪里有做直销网站的,东莞疫情最新消息今天,淘客网站如何做,wordpress配置smtp定义: 后果 比如黑客可以通过恶意代码,拿到用户的cookie就可以去登陆了 分类 存储型 攻击者把恶意脚本存储在目标网站的数据库中(没有过滤直接保存),当用户访问这个页面时,恶意脚本会从数据库中被读取并在用户浏览器中执行。比如在那些允许用户评论的…

定义:

在这里插入图片描述

后果

比如黑客可以通过恶意代码,拿到用户的cookie就可以去登陆了

分类

存储型

攻击者把恶意脚本存储在目标网站的数据库中(没有过滤直接保存),当用户访问这个页面时,恶意脚本会从数据库中被读取并在用户浏览器中执行。比如在那些允许用户评论的网站, 用户越多,中招的越多

在这里插入图片描述
流程在这里插入图片描述

反射型

攻击者通过构造恶意链接,诱使用户点击,恶意脚本随请求发送到目标网站服务器,服务器查看了链接以后以为用户要检索某些信息,并没有进行额外的过滤,服务器的数据库也不需要保存什么信息,就只是返回了对应的结果,浏览器只是把结果呈现在页面.
在这里插入图片描述
例子
在这里插入图片描述
反射型一般是利用网页的检索功能, 你输入的检索信息会显示在页面中在这里插入图片描述
如果url加一个script标签, 也就注入网页成为内容的一部分,浏览器就会去执行这个js代码
在这里插入图片描述

DOM型

攻击者在url中插入恶意代码,前端直接从url中获取恶意代码并且输出到页面,导致恶码被执行, 跟反射型很像,但浏览器并未把恶意代码发送给服务器, 是前端直接执行的. 比如url中的hash部分是不会发送给服务器的,即url前面的部分服务器照常请求,也就是浏览器的渲染分了两步走,给黑客留下可以攻击的漏洞
“#”部分的更改不会重新发送请求, 此页面将hash注入到了页面,黑客就可以利用这个点往页面注入内容, 比如获取cookie并发送等
在这里插入图片描述在这里插入图片描述

三者区别

DOM 型取出和执⾏恶意代码由浏览器端完成,不涉及将恶意脚本发送到服务器,属于前端JavaScript 自身的安全漏洞,而其他两种属于服务端的安全漏洞。

应对策略

对用户输入进行严格的验证和过滤

前端验证
  1. 通过h5表单属性,如pattern正则表达式模式,type字段的属性进行限制等;
  2. js中的动态验证: 通过对输入添加addevenlistener监听
服务端验证

无论客户端是否验证,都必须在服务器端再次验证输入。
可以使用后端语言的内置函数或正则表达式进行验证。

输入过滤

  1. 用户输入显示在网页上之前,将其中的特殊字符(如 <, >, &, ', ")转义,防止其被解释为脚本, 防止 XSS 攻击。
  2. URL 编码: 将 URL 中的特殊字符转换为 % 加上两位十六进制数的形式,以确保 URL 安全传输。
let userInput = 'hello world';
let encodedInput = encodeURIComponent(userInput);
console.log(encodedInput);  // hello%20world

限制用户输入的长度

防止缓冲区溢出和资源滥用。

内容安全策略CSP

在网关通过HTTP 响应头设Content-Security-Policy或者HTML 标签设置,本质是建立一个白名单,告诉浏览器哪些外部资源可以加载和执行,从而防止恶意代码的注入攻击。
CSP 通过指定允许的资源来源,阻止了恶意脚本、样式表、图像等资源的加载。例如,通过配置 script-src,可以只允许从可信任的域名加载脚本,任何来自其他域名的脚本都会被阻止
在这里插入图片描述
在这里插入图片描述

http-only

黑客本质是想获取cookie拿到客人信息, 而Cookie有一个http-only属性,表示只能被http请求携带,不能通过客户端js脚本访问cookie,

textContent代替innerHTML(反射型)

所以前端应该避免使用innerHTML、document.write, v-html、dangerouslySetInnerHTML 把不可信的数据作为 HTML 插到页面上,而应尽量使用 textContent 等。
textContent 属性用于设置或获取一个元素的文本内容。与 innerHTML 不同,textContent 仅处理文本,不会解析 HTML 标签。

参考视频:
https://www.bilibili.com/video/BV1rg411v7B8/?spm_id_from=333.788&vd_source=bb7c78c7981f6b653a3daf2f416312cb
https://www.bilibili.com/video/BV1ww411p7DG/?spm_id_from=pageDriver&vd_source=bb7c78c7981f6b653a3daf2f416312cb

http://www.zhongyajixie.com/news/17272.html

相关文章:

  • 重庆网站设计制作案例全网营销式网站
  • 网站设置文件如何网络推广
  • 公司做的网站怎么维护培训后的收获和感想
  • 石家庄网站建设电话咨询网页制作软件下载
  • 一米电子产品营销型网站案例展示昆明新闻头条最新消息
  • 网站被降权如何恢复建设网站的十个步骤
  • 欧美免费视频网站模板百度怎么发帖子
  • 这是我做的网站吗短信营销
  • 网上做实验的网站广州网站排名优化公司
  • wordpress自助建站系统百度搜索引擎的网址是多少
  • 西宁做腋臭哪里北大DE网站安徽网站推广优化
  • 网站开发的项目需求深圳做推广哪家比较好
  • 网站公司做网站修改会收费吗头条热点新闻
  • 北京网站制作网络推广公司114啦网址导航官网
  • 城阳网站建设公司怎么做一个公司网站
  • 做黑帽需不需要搭建网站自助建站系统
  • 门户网站开发商业软文代写
  • 网站教程百度知道下载
  • 个人做网站花多少钱现在做网络推广好做吗
  • html5 手机网站模版seo优化排名软件
  • 哪些网站适合花钱做推广互联网推广项目
  • 织梦网站栏目建设关键词优化平台有哪些
  • 门户网站开发公司可以推广的平台
  • 服装设计怎么学 从零开始厦门关键词优化平台
  • 福州注册公司大概费用搜索排名优化
  • 通付盾 网站建设广州网站建设工作室
  • 网站添加背影音乐怎么做做网站建设公司
  • 怎么做网站描述aso优化运营
  • css做的简单网站免费域名怎么注册
  • 深圳宝安医院的网站建设2023年8月疫情恢复