前端安全之 XSS

XSS 攻击分两种模式，一种是存储式，就是说会入侵数据库的，另一种是反射式，是依赖服务器站点的返回攻击，这个是被动的，需要用户点特定的按钮或者执行特定的 action 才能触发的。

储存式：比如说我们在写博客的时候提交一段 js 代码上去，专门搞破坏，在某个 input 里面输入一段 js语句 或者导入一个 js 文件，提交到服务器，后端不经过验证，直接存储到数据库，当别人打开这个文档的时候，就可以使用这个 js 去读取当前用户的 cookie 信息，窃取隐私了，或者触发另一个 CSRF 攻击，这个写在后面篇幅。

XSS防范手段： 前端在进行表单提交时候需要进行一次输入值的确认，可以通过HTML 语言进行字符转义‘‘<’’, ““>””这种关键字，当然这只是最表层的判定，深层的就需要后端同时做过滤，做白名单或者黑名单。

 

反射式：例如贴吧里面的那些小广告连接，点进去就有几率触发反射式 XSS 攻击，在点击事件绑定里面添加其他的 cookie 信息读取脚本，然后定向通过发邮件等形式把 cookie 发给入侵者。或者在执行 get 请求是截取用户信息。