XSS攻击

Xss攻击简介

Xss是一种跨站脚本攻击，将部分html代码侵入到网页中，当用户打开网页时，程序便在浏览器中执行。以盗取用户名密码、cookie。

Xss攻击原理

假设有一个正常的html页面，代码为<input type="text" name="nick" value="xiaomao">，如果在输入框中输入的是非正常数据，如<script>alert("haha")</script>，此时再重定向到该页面时会弹出一个弹框，该弹框就是侵入的代码。

Xss类型

持久性

在用户将内容通过页面存储到数据库，其他用户在打开该内容时，会由于侵入的恶意代码进行服务攻击。

非持久性

 非持久化攻击主要是对当前页面有一定影响。一般是在页面植入一个链接，用户访问链接时，植入的脚本会在用户浏览器执行。

Xss防御

在服务器接口获取到web端参数之前，在过滤器中进行对特殊字符的转码。比如把”<”, “>”, “&”等这些特殊字符转码即可。