XSS

看了大牛的XSS预防的视频教程，这里作为学习笔记记录一下心得。

XSS是指跨站脚本攻击，一般形式为：用户通过输入非法内容，使系统进行不该发生的操作。

XSS的类型有反射性和存储型。反射性指程序通过url取参时得到非法参数进行调用，存储型指非法内容保存到数据库中，系统从数据库中获取到用户输入的非法内容进行调用。相对而言，存储型XSS可能造成的危害会更大。

XSS经常出现的地方：1.元素内容，如果元素待显示的内容中含有可执行js代码段，在页面被渲染时该代码段会被当做可执行代码执行，将会产生不可预知的后果；2.元素属性，与元素内容相似，只是这里是对元素属性进行攻击，可以通过携带含有“"”的参数将元素属性标签提前关闭，然后后续内容通过绑定事件等方式攻击；3.js代码段，一般为存储型XSS，指在执行系统js代码的时候使用了用户输入内容，可能会形成XSS攻击；4.富文本，富文本保存的本来就是html代码段，对于这类内容，插入一段js进行攻击，很容易也隐蔽，预防起来也比较麻烦。

XSS预防一般策略：1.对“<”、“>”进行转义；2.对“"”、“'”进行转义；3.用户输入内容使用前进行JSON转义；4.进行过滤(分为黑名单和白名单两种)；

浏览器默认会拦截元素内容和元素属性出现的反射性xss;
cheerio:解析html代码段的库,返回类似jq的对象,用于白名单过滤时获取html结构;
xss:一个库,优化js代码段xss攻击的第三方库;
CSP:内容安全策略,指定哪些内容是可执行的;