XSS攻擊需要具備兩個條件：需要向web頁面注入惡意代碼；這些惡意代碼能夠被瀏覽器成功的執(zhí)行。

XSS攻擊有2種: ??反射型攻擊; ???存儲型攻擊

XSS反射型攻擊，惡意代碼并沒有保存在目標網(wǎng)站，通過引誘用戶點擊一個鏈接到目標網(wǎng)站的惡意鏈接來實施攻擊的。

XSS存儲型攻擊，惡意代碼被保存到目標網(wǎng)站的服務器中，這種攻擊具有較強的穩(wěn)定性和持久性，比較常見場景是在博客，論壇、OA、CRM等社交網(wǎng)站上，比如：某CRM系統(tǒng)的客戶投訴功能上存在XSS存儲型漏洞，黑客提交了惡意攻擊代碼，當系統(tǒng)管理員查看投訴信息時惡意代碼執(zhí)行，竊取了客戶的資料，然而管理員毫不知情，這就是典型的XSS存儲型攻擊。

危害：1.竊取cookies，讀取目標網(wǎng)站的cookie發(fā)送到黑客的服務器上

2.讀取用戶未公開的資料，如果：郵件列表或者內容、系統(tǒng)的客戶資料，聯(lián)系人列表等等。它可以獲取用戶的聯(lián)系人列表，然后向聯(lián)系人發(fā)送虛假詐騙信息，可以刪除用戶的日志等等，有時候還和其他攻擊方式同時實 施比如SQL注入攻擊服務器和數(shù)據(jù)庫、Click劫持、相對鏈接劫持等實施釣魚，它帶來的危害是巨大的，是web安全的頭號大敵。

解決：

1.在表單提交或者url參數(shù)傳遞前，對需要的參數(shù)進行過濾

2.過濾用戶輸入的 檢查用戶輸入的內容中是否有非法內容。如<>（尖括號）、”（引號）、 ‘（單引號）、%（百分比符號）、;（分號）、()（括號）、&（& 符號）、+（加號）等。、嚴格控制輸出

可以利用下面這些函數(shù)對出現(xiàn)xss漏洞的參數(shù)進行過濾

（1）htmlspecialchars() 函數(shù),用于轉義處理在頁面上顯示的文本。

（2）htmlentities() 函數(shù),用于轉義處理在頁面上顯示的文本。

（3）strip_tags() 函數(shù),過濾掉輸入、輸出里面的惡意標簽。

（4）header() 函數(shù),使用header("Content-type:application/json"); 用于控制 json 數(shù)據(jù)的頭部，不用于瀏覽。

（5）urlencode() 函數(shù),用于輸出處理字符型參數(shù)帶入頁面鏈接中。

（6）intval() 函數(shù)用于處理數(shù)值型參數(shù)輸出頁面中。

（7）自定義函數(shù),在大多情況下，要使用一些常用的 html 標簽，以美化頁面顯示，如留言、小紙條。那么在這樣的情況下，要采用白名單的方法使用合法的標簽顯示，過濾掉非法的字符。
————————————————
版權聲明：本文為CSDN博主「筑夢悠然」的原創(chuàng)文章，遵循 CC 4.0 BY-SA 版權協(xié)議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/wuhuagu_wuhuaguo/article/details/79774187

總結

以上是生活随笔為你收集整理的反射型XSS漏洞的条件+类型+危害+解决的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。