xss简介

1、定义：XSS攻击全称跨站脚本攻击，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

2、XSS的攻击方式：反射型，存储型。 ①反射型：发出请求时，XSS代码出现在URL中，作为输入提交到服务器，服务器解析后响应，XSS代码随响应内容一起传回浏览器，最后浏览器解析执行XSS代码，这个过程就像一次反射，故叫反射型。 ②存储型：存储型XSS和反射型XSS的区别在于，提交的代码会存储在服务器端，下次请求页面时不用再提交XSS代码。

3、XSS的防范措施：编码、过滤、矫正 ①：编码：对用户输入的数据进行HTML entity编码。 ②：过滤：移除用户上传的DOM属性，如onerror等，移除用户上传的style节点，script节点，iframe节点等。 ③：矫正：避免直接对HTML Entity解码，使用DOM parse转换，矫正不配对的DOM标签。