XSS攻击

    XSS攻击即跨站点脚本攻击（Cross Site Script），指黑客通过篡改网页，注入恶意HTML脚本，在用户浏览网页时，控制用户浏览器进行恶意操作的一种攻击方式。
    常见的XSS攻击有两种，一种是反射型，攻击者诱使用户点击一个嵌入恶意脚本的链接，达到攻击的目的，如下图所示。

    现实中，攻击者可以采用XSS攻击，偷取用户Cookie、密码等重要数据，进而伪造交易、盗窃用户财产、窃取情报等。
    另外一种XSS攻击是持久型XSS攻击，黑客提交含有恶意脚本的请求，保存在被攻击的Web站点的数据库中，用户浏览网页时，恶意脚本被包含在正常页面中，达到攻击的目的，如下图所示。此种攻击常用于论坛、博客等Web应用中。

    XSS攻击相对而言是一种古老的攻击手段，却不断变换出新的攻击花样，许多以前认为不可能用来攻击的漏洞也逐渐被攻击者利用，因此XSS防攻击也是非常复杂的，主要手段有如下两种：
消毒
    XSS攻击者一般都是通过在请求中嵌入恶意脚本达到攻击的目的，这些脚本是一般用户输入中不使用的，如果进行过滤和消毒处理，即对某些html危险字符转义，如“>”转义为”&gt”、”<”转义为”&lt”等，就可以防止大部分攻击。为了避免对不必要的内容错误转义，如”3<5”中”<”需要进行文本匹配后再转义，如”< img src=”这样的上下文中”<”才转义。消毒几乎是所有网站最必备的XSS防攻击手段。
HttpOnly
    最早由微软提出，即浏览器禁止页面JavaScript访问带有HttpOnly属性的Cookie。HttpOnly并不是直接对抗XSS攻击的，而是防止XSS攻击者窃取Cookie。对于存放敏感信息的Cookie，如用户认证信息等，可通过对该Cookie添加HttpOnly属性，避免被攻击脚本窃取。