课程名称： 新版 Node.js+Express+Koa2 开发Web Server博客

课程章节： xss攻击

课程讲师： 双越

课程内容：

xss攻击

• 前端同学最熟悉的攻击方式，但 server 端更应该掌握
• 攻击防方式：在页面展示内容中掺杂js代码，以获取网页信息
• 预防措施：转换生成js的特殊字符
  

代码演示：

如果没有做xxs 处理，那前端提交js代码就会执行这个代码，如下：

这个创建博客，后端就会存储js代码，然后前端就会执行这个js代码

安装第三方插件：xss

npm i xss --save

在后端把要存储用户输入的信息都加上xss

const xss = require("xss");

// 新建一篇博客
const newBlog = (blogData = {}) => {
  const title = xss(blogData.title);
  const content = xss(blogData.content);
  const author = xss(blogData.author);
  const createTime = Date.now();
};

课程收获：

1. 了解xss攻击是什么
2. 明白如何处理 xss