XSS是什么? 1.XSS(Cross Site Script,跨站脚本攻击) 是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式;跨站脚本攻击分为两种形式:反射性攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标)、持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行) 2.防范XSS 消毒(对危险字符进行转义)和HttpOnly(js无法获取cookie数据) SQL注入攻击是注入攻击的最常见形式(除此之外还有OS注入攻击),当服务器使用请求参数构造SQL语句时,恶意的SQL被嵌入到SQL中交给数据库执行。