浅谈XSS攻击与防御

XSS（Cross Site Script）：跨站脚本攻击，通过HTML注入，修改网页，插入恶意脚本，进行攻击。

XSS有三种类型：

反射型：经过后端，不经过数据库

存储型：经过后端，经过数据库

DOM：不经过后端，DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的

 

常见语句：<script>alert('hack')</script>

可以让网页加载一个远程脚本，这个脚本里是xss的具体攻击代码，可以窃取cookie、获取浏览器信息、制作xss蠕虫等。

防御方法：

1.Httponly：防止通过js访问cookie

2.输入/输出检查