xss攻击防御

输入验证与过滤

对所有用户输入进行严格的验证和过滤，确保输入数据符合预期的格式和类型。使用白名单机制，只允许特定的字符和格式通过。例如，对于用户输入的HTML内容，可以使用HTML净化库（如DOMPurify）来移除潜在的恶意脚本。

const clean = DOMPurify.sanitize(dirty);

输出编码

在将用户输入的数据输出到页面时，确保对数据进行适当的编码。对于HTML内容，使用HTML实体编码；对于JavaScript内容，使用JavaScript编码；对于URL参数，使用URL编码。这样可以防止浏览器将用户输入的内容解释为可执行的代码。

const encoded = encodeURIComponent(userInput);

使用Content Security Policy (CSP)

通过设置CSP头，限制页面中可以加载和执行的资源。CSP可以防止内联脚本的执行，并限制外部脚本的来源，从而有效减少XSS攻击的风险。

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;

使用HttpOnly和Secure标志

在设置Cookie时，使用HttpOnly和Secure标志。HttpOnly标志可以防止JavaScript访问Cookie，Secure标志确保Cookie只能通过HTTPS传输，从而减少Cookie被窃取的风险。

Set-Cookie: sessionId=abc123; HttpOnly; Secure

定期安全审计与测试

定期对应用程序进行安全审计和渗透测试，发现并修复潜在的安全漏洞。使用自动化工具（如OWASP ZAP）和手动测试相结合的方式，确保应用程序的安全性。

教育与培训

对开发团队进行安全培训，提高他们对XSS攻击及其防御措施的认识。确保开发人员在编写代码时遵循安全最佳实践，避免引入安全漏洞。

使用现代框架与库

使用现代的前端框架（如React、Angular、Vue.js）和库，这些框架通常内置了XSS防护机制。例如，React会自动对用户输入进行转义，防止XSS攻击。

const userInput = "<script>alert('XSS')</script>";
const safeOutput = <div>{userInput}</div>;

通过以上措施，可以有效防御XSS攻击，保护应用程序和用户数据的安全。