XSS

Cross-site scripting

Injecting client-side scripts contain malicious content (e.g. steal cookies data) into web pages via:

  • Non-Persistent/Reflected: data provided by a web client (query params, form inputs) is used immediately by server-side scripts to parse and display a page of results for and to that user, without properly sanitizing the request.
  • Persistent/Stored: data provided by the attacker is saved by the server, and then permanently displayed on "normal" pages returned to other users in the course of regular browsing, without proper HTML escaping.
  • DOM-based: same as Non-Persistent type, but data is not sent to server. Rather, it is processed by JavaScript code in order to rendering it in the web page content.

Prevent attack

  • Validating untrusted input.
  • Encoding/escaping string output.
  • Cookie security: there are some flags to secure cookies
    • HttpOnly cookie cannot be accessed by client-side APIs, such as JavaScript.
    • secure cookie can only be transmitted over an encrypted connection (i.e. HTTPS).

https://en.wikipedia.org/wiki/Cross-site_scripting
https://en.wikipedia.org/wiki/HTTP_cookie

Bình luận


White
{{ comment.user.name }}
Bỏ hay Hay
{{comment.like_count}}
Male avatar
{{ comment_error }}
Hủy
   

Hiển thị thử

Chỉnh sửa

White

Quan

10 bài viết.
2 người follow
Kipalog
{{userFollowed ? 'Following' : 'Follow'}}
Cùng một tác giả
White
1 0
Clojure supports flexible concurrency models for real world complexity: (Link): builtin support. (Link): similar to Golang concurrency model, w...
Quan viết 12 tháng trước
1 0
White
1 0
clojure (defn updatevalues m f & args] (reduce (fn r k v]] (assoc r k (apply f v args))) {} m)) (updatevalues {:a 1 :b 2 :c 3} inc) ;;= {:c 4,...
Quan viết 12 tháng trước
1 0
Bài viết liên quan
White
30 11
Có 1 kiểu tấn công vào website mà chúng ta không thể nào chống được, dù có làm thế nào đi nữa: DDOS. Đây cũng là một từ rất hay dc nhắc đến và rất...
quocnguyen viết 2 năm trước
30 11
White
20 4
(Ảnh) Nếu máy tính của bạn đã bị lây nhiễm, mã độc có thể lây lan tới trang web của bạn thông qua trình soạn thảo văn bản và (Link). Dùng các mật ...
Juno_okyo viết 9 tháng trước
20 4
{{like_count}}

kipalog

{{ comment_count }}

bình luận

{{liked ? "Đã kipalog" : "Kipalog"}}


White
{{userFollowed ? 'Following' : 'Follow'}}
10 bài viết.
2 người follow

 Đầu mục bài viết

Vẫn còn nữa! x

Kipalog vẫn còn rất nhiều bài viết hay và chủ đề thú vị chờ bạn khám phá!