Các lỗ hỗng dạng này khó tìm và phát hiện hơn Server XSS nhiều (Xem ví
dụ: http://kipalog.com/posts/To-da-hack-trang-SinhVienIT-net-nhu-the-nao)..)
Cách phòng tránh
Tôn chỉ của series “Bảo mật nhập môn” là: Hack để học, chứ đừng học để hack. Mục tiêu của
mình không phải là hướng dẫn các bạn đi hack và quậy phá các site khác, mà là dạy bạn biết
và phòng chống những đòn tấn công này.
Vì XSS là một dạng tấn công hay gặp, dễ gây hậu quả cao nên hầu như các Web Framework
nổi tiếng (Spring, Django, ASP.NET MVC) đều tích hợp sẵn cách phòng chống. Dù bạn là dân
ngoại đạo, không biết gì về XSS, chỉ cần sử dụng framework bản mới nhất là đã đề phòng được
kha khá lỗi rồi.
Lỗi XSS này cũng khá dễ fix, quan trọng là lỗi này thường gặp ở nhiều trang, dễ sót, do đó sau
khi fix ta phải verify cần thận. Có 3 phương pháp thường dùng fix lỗi này:
- Encoding
Không được tin tưởng bất kì thứ gì người dùng nhập vào!! Hãy sử dụng hàm encode có sẵn
trong ngôn ngữ/framework để chuyển các kí tự < > thành < %gt;.