為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記 XSS Cross Site Scripting 相關的內容。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/160756
本篇範圍:Chapter 2
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
跨站腳本攻擊:當網站讀取時,執行攻擊者提供的程式碼。
映射型
透過網站中的某功能,其會接收使用者端提供的資料,並回應到使用者端的畫面。若未針對使用者的輸入進行過濾,那就有機會傳入 JavaScript 相關的內容,並在客戶端上執行。通常會發生在資料檢索的位置。
儲存型
在 db 內儲存有疑慮的 JavaScript 的字串。當使用者直接從 DB 撈取,或是透過 api 拿取後,就會在客戶端直接執行
