xss攻击及防御

1.Cross Site Scripting跨站脚本攻击，利用js和DOM攻击。
盗用cookie，获取敏感信息破坏正常页面结构，插入恶意内容（广告..）劫持前端逻辑
2.分为反射型攻击和存储型攻击。
反射型攻击：XSS代码出现在URL中，作为输入提交到服务器端，服务器解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。这个过程像一次反射，故叫反射型XSS。
存储型攻击：提交的代码会存储在服务器端（数据库，内存，文件系统等）
3.如何防御:
1.浏览器自带防御 启用XSS过滤
2.CSP: Content Security Policy CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只 需要配置规则，如何拦截是由浏览器自己实现的.
3.编码转义,对用户输入的数据进行HTML Entity编码.
4.过滤,过滤掉不合法输入，保证安全
5.HttpOnly Cookie，Web应 用程序在设置cookie时，将其 属性设为HttpOnly，就可以避免该网页的cookie被客户端恶意JavaScript窃取，保护用户 cookie信息。