【web安全】Xss Exploits and Defense翻译4

快速回顾

XSS的历史

Ø XSS很早就在网上存在。

Ø 1999年，Georgi Guninski和David Ross联合发表了第一篇关于XSS威胁标题为“脚本注入”的论文。

Ø 2005年，第一个广为人知的XSS蠕虫病毒***流行社交网站MySpace。

Web应用安全

Ø Web互联网上有超过800万网民，100万个网站，天天交易在网上交易数十亿美圆。

Ø 各类基于web软件的安全统称为web 应用安全。

Ø Web的流量常常是被防火墙容许的。

Ø XSS尽管是web应用安全的一小部分领域，可是却表明着最大的威胁。

XML 和 AJAX介绍

Ø AJAX是一系列技术用来提升web应用程序的用户体验，提供更好的可用性，和加快访问的速度。

Ø AJAX的核心组件是XMLHttpRequest对象，经过浏览器提供在请求和回复上更强大的控制。

Ø DOM是定义怎么解析XML树结构的一个W3C标准。

常见问题（FAQ）

下面的常见问答是用来帮助你更好地理解本章的概念。若是对本章有任何疑问能够浏览www.syngress.com/solutions而后点击“Ask the Author”表单。

Q：HTML注入和XSS有什么区别？

A：他们确切地说是相同的。在某种状况下，***者注入有效的HTML标记，然而在其余状况下，***者不只注入HTML标记并且尝试执行一个脚本。

Q：有没有一些防病毒软件能够防护XSS***？

A：没有。防病毒软件防护病毒和恶意代码（可能由XSS漏洞产生）。一些防病毒软件能够检测恶意代码，可是他们不能防护XSS的发生。

Q：XSS蠕虫会在我系统上传播吗？

A：XSS蠕虫影响web应用程序，他们惟一能传播的路径就是利用XSS漏洞。可是，有不少浏览器的BUG能够致使***你的系统。在那种状况下，XSS蠕虫利用浏览器bug能够危害你的系统。

Q：XSS来***为危害我没有访问的在线账号，是真的吗？

A：浏览器是你信任网络和不信任网络的中间件。每次你浏览一个网页，你悄悄下载脚本而后在浏览器中的另外一个环境执行。这些脚本能够访问内部网络地址而后他们能够在内部网络传播。

Q：全部的AJAX应用都存在XSS***的漏洞？

A：尽管大多数的web应用有XSS问题，可是要理解的是，XSS是由客户端/服务端脚本对用户输入过滤不严格引发的。若是你遵循一个强安全实践，你能够预防XSS从过滤或者转义不但愿的字符事件开始。