参考来源:av32599703
Cross Site Scripting 跨站脚本攻击。XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
涉及:攻击者 、用户、 web服务器。攻击者会在用户访问浏览器的时候嵌入自己的脚本,脚本执行后窃取用户信息 比如cookie,再发送到攻击者的网站,这就是跨站。
挂马:
防止XSS攻击的方法:
一、输入处理
1.将容易导致XSS攻击的半角字符改为全角字符。2.黑名单过滤如关键字script,白名单过滤如用户名密码等关键字,但不可过滤如富文本编辑器里的内容,可根据需求添加关键字。
二、输出处理
对动态输出内容进行编码和转义(根据上下文转义)
转义网站:html entities 即html实体。
三、将用户的cookie设置为http-only