XSS攻击测试代码

此篇为转载分享文

XSS攻击测试代码，主要攻击是通过在输入框内输入获取服务器的cookie的信息，从而登陆你的服务器，

原理是通过在前端的关键字内输入攻击的值，然后这些值存储在数据库内，后端服务器通过调取这个键值对，从而触发获取服务器端的cookie信息。

所以前后端要进行特殊字符的处理，不让输入一些特殊标签，如

οnclick=alert(document.cookie)

2.扰乱页面布局

3.在页面链接上参数后输入脚本/在输入框内输入js脚本

 

XSS 漏洞修复

　　原则：　不相信客户输入的数据

　　注意:  攻击代码不一定在中

　　将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.

     需要对用户的输入进行处理，只允许用户输入我们期望的数据，其它值一概过滤掉。例如：　年龄的textbox中，只允许用户输入数字。 而数字之外的字符都过滤掉。

　　对数据进行Html Encode 处理

　　过滤或移除特殊的Html标签， 例如: