防范跨站脚本攻击（XXS）的关键手段

1：加强对提交信息和页面显示信息的过滤，让非法提交内容无处施展；

2：让存储在cookie中的sessionid 无法被js 读取到。

 

如今的xss

相比网上很多资料中，在技术上已经发生了很大变化。由于各大网站加强了对于js脚本、html标签等关键信息的过滤，单纯依靠植入javascript代码很难实施攻击。

PC端页面，一些视频类、页游网站存在大量的flash内嵌在页面中，可以尝试将flash代码植入，往往可以规避网站安全过滤。移动端页面，可以植入native代码（android系统植入java，ios系统植入oc）。