1.xss的攻击原理需要了解Httpcookieajax,Xss(cross-sitescripting)攻击是指攻击者在网页中插入恶意的html标签或javascript代码。例如:攻击者在论坛中放置一个看似安全的链接,诱使用户点击,窃取用户在cookie中的隐私信息;或者攻击者在论坛添加恶意表单,当用户提交表单时,信息发送到攻击者的服务器,而不是用户原来认为的可信站点2.攻击方法,防止Xss反射类型是将攻击性XSS代码放入URL中,作为参数提交给服务器,类似于Get方法,表单提交后服务器响应,XSS代码连同响应内容一起回传给浏览器,最后浏览器解析并执行XSS代码。这个过程称为反射型XSS。广告植入往往是这样的--storage存储类型类似于post提交,提交到服务器(数据库,内训,文件系统==)DomXSS3.XSS防范措施用户输入的第一个代码需要的地方和变量仔细检查长度和过滤字符,如“<”、“>”、“;”、“'”;其次,任何内容在写入页面之前都必须进行编码,以免不小心把html标签弄乱了。如果这一关做好,至少可以阻挡一半的XSS攻击。Encode编码,实体过滤使用正则来过滤一些非法输入,比如dom相关的属性,onerror,onclick,去除用户上传的样式,脚本节点,iframe,链接节点等等。这样的会被注入广告,有的链接,当鼠标经过的时候,会触发一些CSRF攻击。他们都有执行风格和脚本执行。修正避免直接解码html实体和DOM解析转换(将整个字符串解析成DOM字符串,用作文本处理)。有关更正不匹配DOM标记的详细信息,请参阅这篇介绍性文章。
