XSS攻击解析

什么是XSS攻击？

xss的意思就是跨站脚本攻击，通过向别人的网页插入恶意代码使其他访问该网页的用户在不知情的情况下执行该段恶意代码从而达到攻击者的目的。

一个简单的攻击例子

• 如下图所示是一个简单的网页回复模块
• 用户test2回复这一段js代码
• 回复成功后一个xss的攻击就已经完成。攻击代码如下图已经插入到网页的内容之中。
• 接下来其他用户只要再访问这个页面就会自动执行这段代码，如下图所示已成功执行，弹框提示内容，每次刷新页面都会进行弹窗。 如果网站不具备防御xss攻击的能力的话就非常容易给黑客进行攻击注入，通过该手段非常容易就泄露用户信息甚至是账户和密码。

如何防范？

目前主要防范的方式还是要对用户输入的内容进行关键字过滤，而现在市面上的的绝大多数开发框架都已经将过滤器封装成接口来供我们调用了。因此只需在需要的地方调用该接口即可防范住xss的攻击。