XSS攻击原理和防御措施

关于CSRF攻击可以看这篇文章。关于CSRF攻击的原理以及防御措施
跨站脚本攻击：它指得是恶意攻击者往web页面里插入恶意的html代码，当用户浏览该页时，嵌入web页面的html就会被执行，从而达到恶意攻击用户的特殊目的。

XSS攻击的原理

1、黑客对含有漏洞的服务器发起XSS攻击；
2、诱使用户打开受到攻击的服务器URL；
3、用户在浏览器中打开URL，恶意代码执行。

XSS的类型

• 持久型：也叫“存储型XSS”，只要是将XSS代码发送到服务器，所以在下一次请求页面的时候就不用带上XSS代码了。
• 非持久型：也叫“反射型XSS”，是指发生请求的时候，XSS代码出现在URL中，作为参数提交到服务器，服务器解析并作出响应，响应结果中包含XSS代码，最终被浏览器解析执行。

XSS防御的措施

• 对用户的输入数据进行过滤，编码等操作。
• 对cookie进行保护，设置为httpOnly，防止客户端通过document.cookie读取cookie（服务端设置）。