简介xss又称为跨站脚本攻击,攻击者可以利用网站的xss漏洞执行一些脚本代码来达到自己的目的。上面比较出名的xss攻击事件就是hellosamy。笔者利用微博的xss漏洞,刷屏关注自己。业务场景中最有效的xss还是存储的。通过提交表单,将自己的xss代码提交到数据库。如果目标服务没有转义和屏蔽关键字,则存在相关漏洞,会在页面显示。时候执行我们的xss代码,达到反客的目的。Storedxss主要针对后端逻辑,看后端逻辑是否有转义和关键字过滤。xss还有另外两种类型,分别是反射式和DOM式。这两类XSS攻击都是攻击者通过分析你的前端js代码来调试XSS攻击的。这时候,如果我们要防止攻击者分析我们的代码,就需要使用js加密。至于如何加密js,这个要用专业的工具来完成。如何加密JS来保护我们的前端代码目前jsjiami.com是国内最好的js加密。先打开这个工具站,然后默认配置加密,如图。结论加密后的JS代码可以说是对原代码完全不可见。我研究过,加密后的执行效率完全不受影响,执行结果也是一致的。可以说是非常好用了。除了加密,本工具站还可以一键解密其他一些不强大的小加密算法,也可以联系客服人工解密。可以说没有破解不了的密码。
