[程式基礎] XSS 攻擊與防範
-
XSS 全稱為 Cross-Site Scripting,可中譯為跨網站指令碼攻擊。相信想接觸網站開發的朋友們一定聽過,有一種可以寫在網頁裡,讓瀏覽器執行的程式碼稱為 JavaScript,只要使用 HTML 的 <script> 標籤,就可以在裡面撰寫一些 JavaScript 的程式,讓網頁具有動態、互動效果,甚至能製作遊戲
-
雖然 JavaScript 如此方便,但各位是否想過,如果讓任何人可以在你網站上寫入任何 JavaScript 代碼會發生什麼事呢?
-
那將會非常的危險!因為使用者相信你的網頁是安全的!以為安全進入網站後反而被導向到釣魚網站、甚至被竊取帳號密碼、個人資料,但使用者仍然會傻傻地不知道發生什麼事。
-
像這樣由惡意人士代入可執行的惡意代碼的手法就被稱為 XSS 攻擊。
-
至於如何竊取資料?只要插入代碼讓它以 AJAX 方式傳送到攻擊者的伺服器即可。
-
參考網站: