XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
实例:
登陆或者在保存信息的时候输入<script>alert(1)</script>。保存后刷新信息就会弹出1。
当然有的人会说:弹个框能死啊?
1.xss攻击有两类:
反射型:Url参数方式带入页面。
存储型:存储到数据库等持久话保存。
2.防范方法:
内置函数转移
DOM解析白名单
第三方库
csp Content Security Policy内容安全策略