xss攻击及拦截

xss攻击及拦截

xss是指在前端页面中,通过写入代码,获取他人信息(主要是存储在cookie中)的一种手段,在前端开发中,不仅要知道xss如何实现,更要知道如何解决

使用场景:微博,网站的评论区

举例:

当提交了这个代码评论后,其他人打开这个页面时，就会获取到其电脑上cookie数据
除了这个命令,还可以通过a标签, 可以在其中写ajax,把获取到的数据发送到其他地方

阻止xss的常用方法就是通过正则来替换敏感词

//var str= `<script>console.log(document.cookie)</script>`;
str=str.replace(/</?(script)>/gi,"($1)");
str=str.replace(/href=('|")javascript:.*?>/gi,"");
console.log(str);