xss跨站脚本攻击

xss本质是浏览器执行了不被期望的javascript脚本。

不被期望的脚本的来源往往是由攻击者注入的。

我的第一个xss攻击是对是测试用例显示界面的攻击，input输入框的值未经检验，直接返回到浏览器，从而给了我xss的机会。

构造如下输入值’/><script>alert('xss')</script>并提交表单，发现能够弹出对话框，类似如下效果

 

 

xss的一大危害就是可以窃取用户的cookie,

document.cookie

防御：

关键cookie带上httponly属性。

 

Set-Cookie:

cookie的httponly选项，浏览器将禁止页面的javascript访问带有httponly属性的cookie

 

### 随着一些前端mvc框架的兴起， xss也逐渐没落了。react, vue之流努力进行防范，已经帮助我们很多，不过切不可粗心大意，因为兽人永不为奴。