XSS攻击(Cross Site Scripting) 全称跨站脚本攻击
攻击者主要通过嵌入恶意脚本程序,当用户打开网页时,脚本程序便在客户端的浏览器中执行,以盗取客户端cookie,用户名密码,下载执行病毒木马程序等
<input type="text" name="nick" value=" "/><script>alert("你是煞笔")</script><!-" ">【value传值传入sricpt脚本】
防御手段:
XSS之所以能够发生,通过上诉示例中可以看出,用户通过输入代码完成攻击。以html为例,里面包含了大量的”尖括号“,”单引号“,”引号“之类的特殊字符。我们可以对用户输入的数据进行html转译处理来进行防御