XSS는 세 가지 범주로 나뉩니다.
반영된 XSS(비영구) 요청 시 XSS 코드가 URL에 나타나고 서버가 구문 분석하고 응답합니다. XSS 코드로 응답 내용과 함께 브라우저로 다시 전송되고 마지막으로 브라우저는 XSS 코드를 구문 분석하고 실행합니다. 이 프로세스는 반사와 유사하므로 반사형 XSS라고 합니다.
저장된 XSS(영구) 저장된 XSS와 반영된 XSS의 유일한 차이점은 제출된 코드가 서버측(데이터베이스, 메모리, 파일 시스템 등)에 저장되므로 제출할 필요가 없다는 것입니다. 다음에 대상 페이지 XSS 코드를 요청할 때 다시 한 번.
DOM XSS(클라이언트) DOM XSS, 반영된 XSS 및 저장된 XSS의 차이점은 DOM XSS의 코드는 서버의 참여를 요구하지 않으며 XSS를 트리거하는 것은 브라우저 측의 DOM 구문 분석에 의존합니다. 전적으로 클라이언트의 문제입니다.
XSS 방어 조치:
필터 이스케이프 입력 및 출력
문자열이 사용자 입력과 관련이 없다고 판단되지 않는 한 eval, new Function 및 기타 방법을 사용하여 문자열을 실행하지 마세요.
사용 쿠키의 httpOnly 속성과 이 속성의 쿠키 필드는 js에서 읽고 쓸 수 없습니다
innerHTML 및 document.write를 사용할 때 사용자가 데이터를 입력하면 객체 필터링 및 변환을 위해서는 주요 문자가 필요합니다. Yi
추천 튜토리얼:웹 서버 보안
위 내용은 XSS 분류 및 방어 조치의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!