简介

触发条件

XSS的种类

危害

预防措施

简介

Cross Site Script英文缩写：CSS又叫XSS，中文意思：跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。

触发条件

我们浏览的网页全部都是基于超文本标记语言创建的，如显示一个超链接：

<A HREF="http://xxx.xxxx.xxx">I安全频道</A>

而XSS的原理也就是往HTML中注入脚本，HTML指定了脚本标记<script></script>.在没有过滤字符的情况下，只需要保持完整无错的脚本标记即可触发XSS，假如我们在某个资料表单提交内容,表单提交内容就是某个标记属性所赋的值，我们可以构造如下值来闭和标记来构造完整无错的脚本标记，

"><script>alert('XSS');</script><"

结果形成了<A HREF=""><script>alert('XSS');</script> <"">茄子宝的博客在这里</A>这样一个标记，：）这里和SQL注入很象！

XSS的种类

XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。

防范措施是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法，那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为，通常难以看到XSS漏洞的威胁，而该病毒则将其发挥得淋漓尽致。

危害

跨站脚本(Cross-site scripting，XSS)漏洞是Web应用程序中最常见的漏洞之一。站点没有预防XSS漏洞的固定方法，那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为，通常难以看到XSS漏洞的威胁，而该病毒则将其发挥得淋漓尽致。XSS漏洞的蠕虫病毒的特别之处在于它能够自我传播。

如：站点上的一个用户希望自己能够在网站的友人列表上更“受欢迎”。但是该用户不是通过普通的方法来结交新朋友，而是在自己的个人信息中添加了一些代码，导致其他人在访问他的页面时，会不知不觉地利用XSS漏洞将他加为好友。更恶劣的是，它会修改这些人的个人信息，使其他人在访问这些被感染的个人信息时，也会被感染。

1、各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、窃企业重要的具有商业价值的资料

4、非法转账

5、制发送电子邮件

6、网站挂马

7、制受害者机器向其它网站发起攻击

预防措施

要认真检查您的应用程序是否存在XSS漏洞。

必须明确：一切输入都是有害的，不要信任一切输入的数据。 缓和XSS问题的首要法则是确定哪个输入是有效的，并且拒绝所有别的无效输入。

替换危险字符，如："&", "<", ">", """，"'", "/", "?"，";", ":", "%", "<SPACE>", "=", "+"。各种语言替换的程度不尽相同，但是基本上能抵御住一般的XSS攻击。

此外，WebLogic Server的encodeXSS()以有所帮助。可以试着针对所有牵涉到使用encodeXSS()或其他某个筛选方法的输出找出一种编码模式——找出对一种编码模式来说不正确的应用程序往往要比找出XSS漏洞要容易的多。更重要的是，不要认为，就因为XSS漏洞是一个常见问题，所以它危害不大。

之所以出现XSS漏洞有两个原因。首先，HTML没有明确区分代码和数据。无法确定指出“这个字符串表示的是数据”。您可以将其放入引号中，但是数据是否包含引号呢？……其次，程序在将用户数据发送回浏览器时没有进行有效的转义。这导致包含有（例如说）引号的数据被放入页面中，从而引发了问题。而AJAX要提供的好处是，它包含一个专用渠道XML链接，其中全是数据而没有代码。这样，就有可能让客户端AJAX引擎负责对字符串进行转义、检测不正确的值，等等。说是这么说，直到AJAX更为成熟（可能也更为标准化）之前，它只会导致错误的编程和安全漏洞。

微软的Anti-Cross Site Scripting Library旨在方便开发人员对HTML输出进行编码(encode)以避免跨站脚本攻击(XSS)。与其他的编码库不同，这个脚本库采用的是“Principle of Inclusions”，通过定义合法的或允许的字符集合，对不在这个集合内的其他字符则进行相应的编码。结果是，这方法对XSS攻击的防范极其有效。