一、XSS漏洞的定义
XSS又叫CSS(Cross Site Script),跨站脚本攻击。它指的是恶意攻击者往Web页面里面插入恶意JS代码,当用户浏览该页面时,嵌入其中的Web里面的JS代码会被执行,从而达到恶意的特殊目的。
二、XSS漏洞的原理
利用各种方法,向Web页面插入JS代码,让JS代码可以被浏览器执行,访问该页面的用户则被攻击
三、XSS漏洞的分类
- 反射型
经过后端,不经过数据库
- 存储型
经过后端,经过数据库
- DOM型
不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的
XSS漏洞修复方法
HTML实体编码
使用白名单过滤掉用户输入的恶意字符
根据场景对症下药
(暂时没有一劳永逸的修复方法)