什么是 XSS 攻击，如何避免？

XSS 攻击，即跨站脚本攻击（Cross Site Scripting），它是 web 程序中常见的漏洞。 
原理
攻击者往 web 页面里插入恶意的 HTML 代码（Javascript、css、html 标签等），当用户浏览该页面时，嵌入其中的 HTML 代码会被执行，从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作，破坏页面结构、重定向到其他网站等。 
种类
1、DOM Based XSS：基于网页 DOM 结构的攻击
例如：
input 标签 value 属性赋值
//jsp
">
访问
http://xxx.xxx.xxx/search?content=    //弹出 XSS 字样
http://xxx.xxx.xxx/search?content=    //把当前页面的 cookie 发送到 xxxx.aaa.xxx 网站
利用 a 标签的 href 属性的赋值
//jsp
)">跳转...
访问
http://xxx.xxx.xxx?newUrl=javascript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
变换大小写
http://xxx.xxx.xxx?newUrl=JAvaScript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
加空格
http://xxx.xxx.xxx?newUrl= JavaScript :alert('XSS')    //点击 a 标签就会弹出 XSS 字样

image 标签 src 属性，onload、onerror、onclick 事件中注入恶意代码


2、Stored XSS：存储式XSS漏洞

       

输入 ，提交
当别人访问到这个页面时，就会把页面的 cookie 提交到 xxx.aaa.xxx，攻击者就可以获取到 cookie

预防思路 
web 页面中可由用户输入的地方，如果对输入的数据转义、过滤处理
后台输出页面的时候，也需要对输出内容进行转义、过滤处理（因为攻击者可能通过其他方式把恶意脚本写入数据库）
前端对 html 标签属性、css 属性赋值的地方进行校验