1. XSS攻击是什么
XSS Cross Site Scripting 跨站脚本攻击、当用户浏览网页时、攻击代码会被浏览器执行、从而达到攻击目的。 XSS攻击的特点如下:
- 耗时间:没有自动化攻击工具
- 成功率不高
- 对website有http-only、cores-domain没有用
- 现在浏览器大部分都会自动捕捉可以的跨站攻击url
2. 攻击方式
第一种是通过表达提交恶意代码、提过后被后端输出到页面、从而攻击脚本被成功执行
第二种是特意代码被保存到服务器、然后被查询、再输送到前端
3. 危害性
获取用户cookie、恶意链接、恶意广告等。
4. 防范措施
- 转义:特殊符号转义、比如 < > 等标签
- 过滤:script标签过滤、onerror等特殊字符串过滤