XSS攻击

XSS攻击定义

XSS Cross Site Scripting 跨站脚本攻击

XSS攻击原理

它允许恶意web用户将代码植入到提供给其它用户使用的页面中
1.攻击者对某含有漏洞的服务器发起XSS攻击（注入JS代码）
2.诱使受害者打开受到攻击的服务器URL（邮件、留言等，此步骤可选项）
3.受害者在Web浏览器中打开URL，恶意脚本执行。

XSS攻击攻击方式

1.反射型
发出请求时，XSS代码出现在URL中，作为输入提交到服务器端，服务器端解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。这个过程像一次反射，故叫做反射型攻击。

直接
xss= 同源策略
引诱
xss=

点我

iframe 植入广告
xss=

2.存储型
区别，提交代码会存储在服务器端（数据库，内存，文件系统等），下次请求目标页面时不再提交XSS代码

XSS攻击防御措施

1.编码 用户输入的数据，HTML Entity编码
例如把<变成<，把>变成>，浏览器收到以后，就会认为是数据，把