web安全xSS

   XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。

实例：

登陆或者在保存信息的时候输入<script>alert(1)</script>。保存后刷新信息就会弹出1。

当然有的人会说：弹个框能死啊？

1.xss攻击有两类：

反射型：Url参数方式带入页面。

存储型：存储到数据库等持久话保存。

2.防范方法：

内置函数转移

DOM解析白名单

第三方库

csp Content Security Policy内容安全策略