北京建设银行面试复盘
网络安全
XSS(Cross-Site Scripting)
漏洞:当用户输入的内容发送到服务器,服务器动态生成的页面中会将输入内容拼接进去,而不加任何非法字符验证或过滤;
攻击原理:可以在输入中编写攻击代码(<script>攻击代码<script/>),服务器返回被注入恶意代码的HTML后,浏览器解析该HTML时将直接执行其中的攻击代码。
注:本该为CSS,但该缩写已经被占用(Cascading Style Sheet),所以改为XSS;
反射型
常见场景:查询;
注入恶意代码的输入信息,提交到服务器后,服务器将返回一个包含恶意代码的动态生成的HTML,浏览器解析过程中将执行该恶意代码,整个过程中,恶意代码经过服务器的反射达到攻击目的;