跨站脚本攻击（XSS攻击）

1、什么是XSS攻击

• XSS(Cross SiteScript)攻击是跨站脚本攻击的缩写，是一种网站应用程序的安全漏洞攻击，是代码注入的一种。
• 通常通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意代码到网页，使用户加载并执行攻击者恶意制造的网页程序。
• 这些恶意网页程序通常是javascript，但实际上可以包括java，vbscript，activex，flash甚至是普通的HTML。
• 攻击成功后，攻击者可能得到更高的权限（如执行一些操作），私密网页内容，回话和cookie等各种内容。

2、原理

在web的世界里有各种各样的语言，于是乎对于语句的解析大家各不相同，有一些语句在一种语言里是合法的，但是在另外一种语言里是非法的。这种二义性使得黑客可以用代码注入的方式进行攻击——将恶意代码注入合法代码里隐藏起来，再诱发恶意代码，从而进行各种各样的非法活动。历史悠久的SQL注入和XSS注入都是这种攻击方式的典范。

XSS的基本实现思路很简单——比如持久型XSS通过一些正常的站内交互途径，例如发布评论，提交含有JavaScript的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本，从而被攻击。

3、防范

3.1使用XSS Filter

• 输入过滤，对用户提交的数据进行有效性验证，仅接受指定长度范围内并符合我们期望格式的的内容提交，阻止或者忽略除此外的其他任何数据。

• 输出转义，当需要将一个字符串输出到Web网页时，同时又不确定这个字符串中是否包括XSS特殊字符，为了确保输出内容的完整性和正确性，输出HTML属性时可以使用HTML转义编码（HTMLEncode）进行处理，输出到<script>中，可以进行JS编码。

3.2

• 由于XSS臭名昭著历史悠久又极其危险，现代web开发框架如vue.js、react.js等，在设计的时候就考虑了XSS攻击对html插值进行了更进一步的抽象、过滤和转义，我们只要熟练正确地使用他们，就可以在大部分情况下避免XSS攻击。

• 同时，许多基于MVVM框架的SPA（单页应用）不需要刷新URL来控制view，这样大大防止了XSS隐患。另外，我们还可以用一些防火墙来阻止XSS的运行。

参考文献：对于跨站脚本攻击（XSS攻击）的理解和总结