Web安全 --- XSS漏洞

1.什么是XSS(Cross Site Scripting)

      XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

2.XSS原理

      用户输入的数据被当做程序执行了。

3.XSS的危害

      获取页面数据

      获取Cookies

      劫持前端逻辑

      盗窃企业重要的具有商业价值的资料等...

4.XSS分类

    Xss根据是否能持久攻击分为反射型和存储型。

    反射型：url参数直接注入。

    存储型：存储到数据库中，如果输出的页面上没有做任何防范措施，那么所有访问这个页面的用户都会被攻击。

5.XSS注入点

    1.html节点内容

     2.html属性

     3.JavaScript代码

      4.富文本编辑器

6.如何防御XSS

    1.转义特殊字符。如（<>" ' &）等。

    2.设置白名单，将非白名单中的html处理掉。

    3.内容安全策略(Content Security Policy)简称CSP，