xss攻击即跨站脚本攻击(cross site script),指黑客通过篡改网页,注入恶意html脚本,控制用户浏览器进行恶意操作的一种方式!
常见的xss攻击类型有两种,一种是反射型:攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击目的。
另一种是持久型xss攻击,黑客提交含有恶意脚本的请求,请求被 保存在web站点的数据库。当用户访问页面查询该条数据的时候,
该脚本会被浏览器执行。
常用解决方法有:
1.对输出的特殊字符,如<,>进行转义,输出类型为< >
2.浏览器禁止页面访问带有httponly属性的cookie,防止攻击者窃取cookie。
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");