XSS小记

大家都说XSS是一门又热门又不太受重视的Web攻击手法，因为其耗时间、有一定几率不成功、没有相应的软件来完成自动化攻击、是一种被动的攻击手法等。但是由于XSS攻击成本不高且不易被检测到，而且服务端安全问题越来越被重视，XSS攻击在客户端方面还是比较受欢迎的。

XSS攻击：跨脚本攻击。是最常见的一种web安全漏洞，其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。

XSS主要分为三类：反射型XSS、存储型XSS和DOM-XSS。

反射型XSS：主要做法是将脚本代码加入URL地址的请求参数里，请求参数进入程序后在页面直接输出，用户点击类似的恶意链接就可能受到攻击。

存储型XSS：主要是应用程序从数据库中查询数据，在页面中显示出来，攻击者在相关页面输入恶意的脚本数据后，用户浏览此类页面时就可能受到攻击。

DOM-XSS：它和其他两种的区别是，DOM-XSS的XSS代码不需要服务器解析响应的直接参与，触发XSS靠的就是浏览器端的DOM解析，可以认为完全是客户端的事情。

在我们node项目中，选择用xss来做基础的过滤，使用方式如下：

      安装： npm install xss

      使用方式： var xss = require('xss'); var html = xss('');  console.log(html);

但是实际过程中，还是存在很多情况是过滤不到的，比如在这种情况下：

    当参数经过编码后：2%27%2Balert%2817064%29%2B%27 ('2'+alert(17064)+'') 就可以躲过xss的过滤。

    那么遇到这种情况应该怎么处理呢？

由于我遇到的情况是出现在纯数字参数上，所以我的处理方式是：先encode 然后过滤非纯数字的值。

        encodeURLComponent(xss('需要过滤的参数'))；

        /^[0-9]*$/.test('参数') ?  '参数' ：'默认值'

因为我之前对这方面也没有特别关注，可能想到的这个不是很好的处理方式，如果大家有更好的方式，希望不吝赐教！