Skip to content
我的前端知识学习笔记
Main Navigation
Web 开发基础知识
JavaScript 函数式编程
数据结构与算法
JavaScript 设计模式
小记 / 博客
Appearance
Menu
Return to top
On this page
Table of Contents for current page
XSS 攻击
全称为 Cross Site Scripting,跨站脚本攻击。
分类
存储型:比如用户发表文章时,文章内容插入了代码,如果没有进行过滤的话,这段代码代码会被存储到服务器,下次从服务器传递给前端时,会被执行。
反射型:需要用户去点击链接,主要用于盗取用户的 Cookie 信息。
DOM 型:通过 URL 传入参数等手段,不经过后端
如何防御
对用户的输入和 URL 参数进行过滤,对输出进行 HTML 编码。
设置 Http 头部字段 HTTP-Only,禁止 js 获取 cookie。