什么是xss攻击?
xss全称是cross site script跨站脚本攻击,为了避免和css混淆,所以才叫xss。
攻击原理主要是通过网站的漏洞注入攻击脚本代码,从而达到窃取用户信息的目的。
xss的攻击方式:
1、存储型XSS攻击(持久型)
攻击脚本会存储到数据库,影响范围较大,一搬会出现在论坛或一些商品评论中
2、反射型XSS攻击
攻击脚本不会存储到数据库,影响范围一搬较小,通常出现在恶意邮件中,用户点击之后恶意脚本代码发送到服务端,而服务端没处理直接返回客户端展示,所以叫反射型攻击,有一个反射的过程
3、DOM反射型XSS攻击
一搬出现在输入框中,用户输入内容之后没有过滤恶意脚本,导致脚本可以直接运行
如何防范xss攻击?
由于xss攻击的方式不同,需要服务端和客户端同时处理,才能较好的堵截攻击。
1、不能相信任何客户端参数,所有的参数都需要检查并对危险字符作转义处理
2、html标签转义
