一、XSS分类:
存储型:服务端安全漏洞。攻击者通过论坛发帖、商品评论、用户私信等,将恶意代码提交到目标网站数据库中,用户打开目标网站时,恶意代码被取出,并拼接在HTML中返回给浏览器,被执行。
反射型:服务端安全漏洞。通过特殊的包含恶意代码的URL,诱导用户打开后,网站服务端将恶意代码从URL中取出,拼接在HTML上返回给浏览器,恶意代码被执行。
二、XSS预防:
不信任用户输入:进行encode处理;过滤<script>、 <iframe> 等标签,只允许客户输入需要的格式、内容;
cookie设置HttpOnly。