XSS攻击

XSS攻击全称为跨站脚本攻击【Cross site Scripting】
----CSS（但与Cascading Style Sheets,CSS重名）
XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
危害则不言而喻：

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击

攻击类型【手法分类】

• 本地打开他人的恶意url 【本地漏洞】
• 打开他人冒充站点发送的恶意url 【反射式漏洞】
• 站点上直接浏览他人的恶意url 【存储式漏洞】

防御措施

• 基于特征防御 【匹配javascript关键字（并不推荐）】
  1.通过在javascript中插入空白字符躲避
  2.通过完全编码的方式躲避

• 基于代码修改防御

  
  
  

  image.png
  
  

  通过对代码的严格要求和进行session标记，实现避免XSS攻击，但是会降低一部分有趣的交互，并且由于编写代码的人群众多，所以并不容易实现完全避免xss攻击。

---

至此笔者去阅读了一些简单的攻击案例和并在本地测试，想要尽可能避免xss攻击，必须前后端一起努力，前端对数据进行可靠检验，后台对数据做处理过滤，然后前端再对后台传来的数据进行检验过滤。
可以通过以下脚本简单测试是否存在xss漏洞

"/>