OWASP top 10 （2017） 学习笔记--跨站脚本（XSS）

A7:2017 跨站脚本（XSS）

漏洞描述：

当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建HTML或JavaScript 的浏览器API 更新现有的网页时，就会出现XSS 缺陷。

漏洞影响：

常见危害为窃取凭证为主。该漏洞的危害性由JavaScript代码决定，可参见相关XSS平台或BEEF工具。

检测场景：

基于不同标签的检测命令：

　　1、<script>alert（'1'）</script>

　　2、<img  src='1'  onerror="alert（'1'）"/>

　　3、<input type="text" value="x" onmouseover="alert(1)"/>

　　4、<iframe src = "javascript:alert(1)"> </ iframe>

　　5、<a href ="javascript:alert(1)"> x </a>

预防思路：

XSS防护思路：规范输入，编码输出。

　　规范输入：（前台）字符过滤：黑白名单

　　　　　　　（后台）加强判断：验证字符合理性

　　编码输出：转义