跨站脚本(XSS)攻击与防护方法研究

摘要

跨站脚本(XSS)攻击多次位列OWASP (开放Web应用安全项目) Top10漏洞列表,是Web客户端面临的最严重的安全危害之一,为有效防御XSS攻击,本文提出了客户端和服务端相结合的XSS攻击防护方法。在客户端,首先判断输入是否为编码后的文本,如果是编码后的文本内容则解码后进行黑名单过滤,如果是未编码的,则直接过滤;在服务端采取强制输出格式的方法对输出到页面的内容进行格式限制,以此防御未知攻击载荷的XSS攻击。此外,通过搭建本地测试环境WAMP (Windows + Apache + Mysql + PHP),对XSS攻击过程进行模拟研究,并对本文提出的防护方法进行验证。实验的结果表明,本文提出的XSS防护方法能够有效合理地防御XSS攻击。