跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。
XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码
留言类,简单注入javascript
有个表单域:<input type=“text” name=“content” value=“这里是用户填写的数据”>
1、假若用户填写数据为:<script>alert('foolish!')</script>(或者<script type="text/javascript" src="./xss.js"></script>)
2、提交后将会弹出一个foolish警告窗口,接着将数据存入数据库
3、等到别的客户端请求这个留言的时候,将数据取出显示留言时将执行攻击代码,将会显示一个foolish警告窗口。
【将数据改成html标签进行攻击,则会将原本的样式打乱。。。。。。。。】
防止XSS攻击 , 就要对用户提交的数据进行安全过滤
** 过滤或移除特殊的Html标签, 例如: <script>, <iframe>
** 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了
** 过滤JavaScript 事件的标签。例如 "onclick=", "onfocus"