xss攻击方式以及防范介绍

xss攻击方式以及防范

通常来说，网站一般都是有着，用户注册，用户登录，实名认证等等这些需要用户把信息录入数据库的接口

xss找的就是这种接口，他们可以在传递数据的时候，传递恶意的 script 代码，如果你就这样插到数据库里面去了

那么恭喜你，中招了，但是此刻你还没有gg 如果他刚提交的时候，你碰巧在浏览数据库，看到了他，在没执行脚本之前删掉了

并且加了防范，那就没事了

那么它是怎么执行的呢？

在提交到你数据库之后，如果你把数据拿了出来，并且在前端遍历了出来，那么恭喜你，它成功执行了，在此之前，你都是安全的

执行之后会造成什么后果？

执行了之后，你就相当于在你当前页面加载了一个js文件，js文件是怎么写的嘛，这就得看攻击的那个人了，正常来说，他会获取

你当前的所有信息，当前网址，登录cookie等信息，从而通过模拟发送cookie信息，登录进你的后台，给你一个惊喜

那应该怎么防范勒？

相信很多人都已经想到了，验证特殊字符呗，没错，就是验证特殊字符，如果说对方提交：

那么在写入数据库前，做一个特殊字符串处理的话，那它就失效了，代码如下：

$a = "我是"；
//特殊字符处理
var_dump(htmlspecialchars(addslashes($a)));
//最后输出：我是<script src=//xxx.cn>&

珍爱生命，远离网络攻击，平时做好防范，不然真遇到了，你会找漏洞找到烦死的