XSS漏洞解析(一)

以前写程序没有怎么关注这些网络安全问题，随着自己写的程序越来越多，开始关注了网络安全了。

 

一、什么是XSS

XSS(Cross-Site Scripting) 跨站脚本是一种经常出现在web应用程序的计算机安全漏洞，通常是程序过滤不足造成的

 

二、XSS攻击方式以及表现形式

XSS攻击方式分为两种。

一种是反射性攻击，表现为主动注入脚本，直接执行代码

还有一种是持久性的XSS，表现为把脚本写入数据库中，其余用户打开页面的时候就会被收到信息盗用。

 

三、它原理是什么

原理其实很简单，因为浏览器支持dom，js，html等,可以注入代码在你的程序中，并执行了代码，黑客可以利用提交数据的时候自动获取你的cookie发送链接到其余的服务地址获取你的信息，或者让正常的网页多执行一段html页面代码，不停刷新服务器等....

 

四、如何避免，解决方法是什么

注入脚本基本上是我们允许用户输入字符串的时候造成的，但是我们很多情况下又不能不让用户输入字符串。

方案如下:

　　1.输入验证，前后端都需要做处理

　　2.尽量避免get请求

　　3.服务器做好XSS的过滤器，支持黑白名单支持

　　4.能用session尽量不用cookie

 

以上方法基本能解决大部分问题了.