تاریخچه

ابعاد تصویر بزرگتر 398 * 459 پیکسل

تاريخچه حفره هاي امنيتي در معرض حملات XSS به سال ۱۹۹۶ و سالهاي اوليه تولد صفحات وب باز مي گردد. نفوذگران در آن زمان که پروتکل HTTP جا افتاده بود و طراحان تارنماها از زبانهای Scripting مانند جاوا اسکریپت (Java Script) سود میبردند، دريافتند وقتي کاربران معمولي وارد سايتی می شوند، مي توان به کمک کدنویسی در حفره های امنیتی تارنما، صفحه ديگري را در همان صفحه بارگذاری کرد سپس با سود بردن از جاوا اسکریپت داده های کاربر مانند نام کاربری، گذرواژه و یا کوکی (Cookie) ها را دزدید. در اين هنگام رسانه ها اين مشکلات را به ضعف امنيتي مرورگرها نسبت داده بودند. شرکت ارتباطي Netscape که جزو اولين توليدکنندگان مرورگرهاي وب و همچنين سازنده زبان جاوا اسکریپت بود سياست دامنه شخصي را به اين زبان افزود که جلوي دسترسي به آدرس هاي خارج از دامنه تارنما را مي گرفت و تا حدودي اين حملات را محدود مي کرد.

• طراح سایت، خود کد مخرب را در صفحه قرار داشته باشد.
• حفره سایت ممکن است در سطح سیستم عامل یا شبکه ایجاد شده باشد.
• یک حفره دائمی در یکی از مکان های عمومی تارنما قرار گرفته باشد.
• قربانی بر روی یک لینک حاوی XSS مدل non-persistent یا DOM-based کلیک کند.

فیلتر کردن را از دو منظر باید بررسی کرد. فیلتر کردن ورودی های کاربر و فیلتر کردن خروجی ها برای کاربر است.

• فیلتر ورودی:
  • در این قسمت، برنامه نویس وظیفه دارد با فیلتر کردن ورودی های کاربر، شکل و چینش کدهای مخرب را شناسایی کرده و آنها را فیلتر کند.
• فیلتر خروجی:
  • در این قسمت، برنامه نویس وظیفه دارد با فیلتر کردن کدهای خروجی اجازه ایجاد حفره های امنیتی و به طبع آن شکل گیری حملات CSS را متوقف کند.

• سود بردن از مرورگر مناسب.
• سود بردن از ابزارهای محدود کننده اجرای کد مانند NoScript
• کلیک نکردن بر روی لینک و آدرسهای ناشناس.