计算机网络之XSS攻击
1.什么是XSS攻击
XSS也称 cross-site scripting,跨站脚本,因为会与层叠样式表
(Cascading Style Sheets, CSS)的缩写混淆,因此有人将跨站脚本攻击缩写为 XSS;
它指的是恶意攻击者往 Web页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意攻击用户的特殊目的。XSS 攻击一般分三种类型:存储型 、反射型、DOM 型 XSS。比如一个存在XSS漏洞的论坛,用户发帖时就可以引入带有<script>标签的代码,导致恶意代码的执行。
2.预防XSS攻击措施
预防措施有:
*前端:
1)过滤。对输入进行过滤,过滤标签等,只允许合法值
2)HTML转义
3)对于链接跳转,如<a href=“xxx” 等,要校验内容,禁止以script开头的非法链接
4)限制输入长度
*后端:转义,比如go自带的处理器就具有转义功能。