Xss 攻击简介
Xss 是一种跨站脚本攻击, 将部分 html 代码侵入到网页中, 当用户打开网页时, 程序便在浏览器中执行. 以盗取用户名密码, cookie.
假设有一个正常的 html 页面, 代码为 <input type="text" name="nick" value="xiaomao">, 如果在输入框中输入的是非正常数据, 如 < script>alert("haha")</script>, 此时再重定向到该页面时会弹出一个弹框, 该弹框就是侵入的代码.
Xss 类型
持久性
在用户将内容通过页面存储到数据库, 其他用户在打开该内容时, 会由于侵入的恶意代码进行服务攻击.
非持久性
非持久化攻击主要是对当前页面有一定影响. 一般是在页面植入一个链接, 用户访问链接时, 植入的脚本会在用户浏览器执行.
Xss 防御
在服务器接口获取到 web 端参数之前, 在过滤器中进行对特殊字符的转码. 比如把 "<", ">", "&" 等这些特殊字符转码即可.
XSS 攻击
来源: http://www.bubuko.com/infodetail-2668574.html