美國獨立服務(wù)器XSS攻擊全稱(chēng)為跨站腳本攻擊，是一種在Web應用中的計算機安全漏洞，它允許惡意Web用戶(hù)將代碼植入到美國獨立服務(wù)器提供給其它用戶(hù)使用的頁(yè)面中，本文美聯(lián)科技小編就來(lái)介紹下美國獨立服務(wù)器XSS攻擊的類(lèi)型以及它的防御方式。

一、XSS攻擊的類(lèi)型

常見(jiàn)的美國獨立服務(wù)器XSS 攻擊有三種：反射型XSS攻擊、DOM-based 型XXS攻擊以及存儲型XSS攻擊。

1、反射型XSS攻擊

反射型 XSS 一般是攻擊者通過(guò)特定手法，如電子郵件，誘使用戶(hù)去訪(fǎng)問(wèn)一個(gè)包含惡意代碼的 URL，當受害者點(diǎn)擊這些專(zhuān)門(mén)設計的鏈接的時(shí)候，惡意代碼會(huì )直接在受害者美國獨立服務(wù)器主機上的瀏覽器執行。反射型XSS通常出現在網(wǎng)站的搜索欄、用戶(hù)登錄口等地方，常用來(lái)竊取客戶(hù)端 Cookies 或進(jìn)行釣魚(yú)欺騙。

2、存儲型XSS攻擊

存儲型XSS攻擊也叫持久型XSS，主要將XSS代碼提交存儲在服務(wù)器端，如數據庫，內存，文件系統等，這樣下次請求目標頁(yè)面時(shí)不需要再提交XSS代碼，當目標用戶(hù)訪(fǎng)問(wèn)該頁(yè)面獲取數據時(shí)，XSS代碼會(huì )從美國獨立服務(wù)器主機解析之后加載出來(lái)，返回到瀏覽器做正常的HTML和JS解析執行，XSS攻擊就發(fā)生了。

存儲型 XSS 一般出現在網(wǎng)站留言、評論、博客日志等交互處，惡意腳本存儲到客戶(hù)端或者服務(wù)端的數據庫中。

3、DOM-based 型XSS攻擊

基于 DOM 的 XSS 攻擊是指通過(guò)惡意腳本修改頁(yè)面的 DOM 結構，是單純發(fā)生在客戶(hù)端的攻擊。DOM 型 XSS 攻擊中，取出和執行惡意代碼由瀏覽器端完成，屬于前端 JavaScript 自身的安全漏洞。

二、XSS攻擊的防御方式

1、對美國獨立服務(wù)器輸入內容的特定字符進(jìn)行編碼，例如表示 html標記的 < > 等符號。

2、對重要的 Cookie設置 http Only, 防止客戶(hù)端通過(guò)document cookie讀取 cookie，頭由服務(wù)端設置。

3、將不可信的值輸出 URL參數之前，進(jìn)行 URL Encode操作，而對于從 URL參數中獲取值一定要進(jìn)行格式檢測，比如需要的值URL，就判讀是否滿(mǎn)足URL格式。

4、不要使用 Eval來(lái)解析并運行不確定的數據或代碼。

5、后端接口做到關(guān)鍵字符過(guò)濾的問(wèn)題。

以上就是關(guān)于XSS攻擊的類(lèi)型以及防御方式，希望能幫助到有需要的美國獨立服務(wù)器用戶(hù)，美國獨立服務(wù)器用戶(hù)可以收藏方便以后查看哦。

關(guān)注美聯(lián)科技，了解更多IDC資訊！