6.XSS攻击方式及防御措施

一.前端XSS攻击分类

1.什么是XSS攻击

　　XSS允许恶意的web用户将代码植入到提供给其他用户使用的页面中

2.XSS分类

• 反射型（非持久型）XSS

• 存储型（持久型）XSS

• DOM-Basedx型 XSS

（1）反射型XSS

• 攻击方式：诱导用户点击率一些带恶意脚本参数的URL，而服务器直接使用了恶意脚本并返回了结果页，从而导致恶意代码在浏览器执行

（2）持久型XSS

• 攻击方式：将恶意代码上传或存储到了漏洞服务器上，用户访问页面时，页面中包含了恶意脚本

（3）DOM-Basedx型XSS

• 攻击方式：由于客户端JavaScript脚本修改页面DOM结构时（修改文本、重绘、重排）引起浏览器DOM解析所造成的一种漏洞攻击

二.XSS攻击防范措施

1.后台设置Cookie属性

• 后台设置Cookie的httpOnly属性，让客户端脚本无法访问cookie的信息

2.后台过滤数据

• 判断输入格式，只允许通过特定格式的字符

• 收到数据时过滤危险字符

• 过滤与转义需前端与服务器配合使用