xss跨脚本攻击原理、危害及修复建议_身份盗用 xss

原理：xss攻击是指对web程序中恶意植入代码，对网页数据、浏览信息、登录操作进行记录，获取不法信息

危害：

1、钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者通过注入钓鱼JavaScript脚本以监控目标网站的表单输入，甚至攻击者基于DHTML技术发起更高级的钓鱼攻击。

2、网站挂马：跨站时，攻击者利用Iframe标签嵌入隐藏的恶意网站，将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式，进行挂马。

3、身份盗用：Cookie是用户对于特定网站的身份验证标志，XSS攻击可以盗取用户的cookie，从而利用该cookie盗取用户对该网站的操作权限。

4、盗取网站用户信息：当窃取到用户cookie从而获取到用户身份时，攻击者可以盗取到用户对网站的操作权限，从而查看用户隐私信息。

5、垃圾信息发送：在社交网站社区中，利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

6、劫持用户Web行为：一些高级的XSS攻击甚至可以劫持用户的Web行为，从而监视用户的浏览历史、发送与接收的数据等等。

7、XSS蠕虫：借助XSS蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏数据、实施DDoS攻击等。

8、获取用户的个人信息、银行卡密码、私密隐私

9、网页瘫痪无法正常运行

修复建议：1：首先对于我们而言应该要谨记浏览正规的网站，防止不法分子有机可乘

2、网页数据多次过滤

3、对危险代码、字符串严格控制，对数据发起的请求进行验证

4、其次是开发人员应注意编码的严禁性