XSS跨站攻击-反射型[高危]
描述: 反射型XSS,非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。
危害: 它通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起。
解决: 解决方案:反射型XSS漏洞处理:
1.对一些特殊的标签进行转义;
2.直接过滤掉JavaScript事件标签和一些特殊的html标签;
3.将重要的cookie标记为http only;
4.只允许用户输入我们期望的数据;
5.对数据进行html encode处理等