xss是跨站脚本攻击的简称
往往是攻击者输入的脚本决定攻击的力度
简单的就是一个js弹框,为了检测系统有没有xss漏洞~
其他的还有嵌入ifrom,img一类的~
危害是可以窃取用户cookie~伪造用户登陆~
发生这种原因一般都是用户输入了脚本被浏览器执行了~
如果你要想预防这种情况~
不要尝试在输入端去解决攻击,貌似不是太好~
网络上很多介绍在输入端做检测做判断~
但是在输入端做检测的话,
一是代码量繁杂,其次黑客总是想着如何绕过判断,而且一些未知的xss漏洞也发现不了~
反其道而行~在输出端作处理~
推荐使用OWASP提供的ESAPI函数库~
处理输出~就能很好的防护xss了
防止cookie被窃取用httponly可以解决,将关键的cookie用httponly
随时随地看视频
