跨站点脚本攻击简述

一般对付跨站点脚本攻击（XSS），网站采取的是使用过滤器的机制，但这种机制有时可以被设法绕过。

这种脚本攻击一般体现在以下几种方式：

1、恶意重定向；

2、劫持session会话；

3、获取cookie、修改cookie信息（通过插入并执行恶意JS代码）；

脚本攻击可以解释为：

服务器对输入的数据没有进行有效的编码验证，导致攻击者将一串可执行的HTML代码（而服务器认为输入的是数据）插入到原有的页面代码中，增加了页面代码的逻辑功能。

场景体现：

输入框；将输入的字符显示在搜索页面上，结果却是执行了代码。

XSS攻击种类：

1、反射型；（例如输入框）

2、存储型；（例如私信功能）

3、基于DOM型；（类似反射型）

防御原则：

对输入数据进行过滤，对输出数据进行编码！

参考链接：

http://www.freebuf.com/articles/web/15188.html