XSS，中文名稱為跨站腳本，是一種很常見的腳本漏洞。因?yàn)榭缯灸_本攻擊不能直接對(duì)系統(tǒng)進(jìn)行攻擊，所以往往被人們忽視。

由于WEB應(yīng)用程序沒有對(duì)用戶的輸入進(jìn)行嚴(yán)格的過濾和轉(zhuǎn)換，就導(dǎo)致在返回

頁面中可能嵌入惡意代碼。遠(yuǎn)程攻擊者可以利用這些漏洞在用戶瀏覽器會(huì)話中執(zhí)行任意HTML和腳本代碼。跨站腳本執(zhí)行漏洞的攻擊效果需要借助第三方網(wǎng)站來顯現(xiàn)，因此這種攻擊能在一定程度上隱藏身份。

由于跨站腳本不能直接對(duì)系統(tǒng)進(jìn)行攻擊，所以跨站腳本總是伴隨社會(huì)工程學(xué)來實(shí)現(xiàn)攻擊的，這種攻擊的主要表現(xiàn)形式是釣魚式攻擊。釣魚式攻擊方式有很多，比如獲取Cookie, 偽造頁面,屏蔽頁面特定信息,與其它漏洞結(jié)合攻擊操作系統(tǒng)等等。釣魚式攻擊是針對(duì)人腦的攻擊方式，它的傳播手段有EMAIL、IM、聊天室、惡意連接、游戲中的聊天系統(tǒng)，凡是能實(shí)現(xiàn)用戶之間互動(dòng)操作的系統(tǒng)都存在釣魚式攻擊的風(fēng)險(xiǎn)。

在電子商務(wù)蓬勃發(fā)展的今天，針對(duì)個(gè)人財(cái)務(wù)信息的釣魚攻擊事件數(shù)量成直線上升，其中一個(gè)主要攻擊途徑就是跨站腳本執(zhí)行漏洞。據(jù)統(tǒng)計(jì)，國(guó)內(nèi)外存在跨站腳本漏洞的網(wǎng)站多達(dá)60%, 其中包括許多大型知名網(wǎng)站。

針對(duì)于XSS攻擊如此頻繁,危害之大,南昌網(wǎng)絡(luò)公司百恒網(wǎng)絡(luò)提供的實(shí)用的解決方案:

對(duì)這些存在安全隱患進(jìn)行過濾或嚴(yán)格限制 "<"、">"、 "javascript:"、"jscript:"、 "vbscript:"、"&"、""、"onerror"、" "、'CHR(34)、'CHR(39)、"'"。

希望對(duì)廣大站長(zhǎng)或網(wǎng)站建設(shè)公司有所幫助，如對(duì)此不太理解的，可以與南昌網(wǎng)絡(luò)公司百恒網(wǎng)絡(luò)技術(shù)部聯(lián)系。