1.原理

xss,跨站腳本攻擊（Cross-Site Script）,為區(qū)別css而取名xss，意為攻擊者通過(guò)在web界面中插入惡意javascript代碼，然后當(dāng)用戶瀏覽該web頁(yè)面時(shí)候，站點(diǎn)中的惡意script代碼就會(huì)加載執(zhí)行，從而達(dá)到惡意攻擊的目的。

2.分類(lèi)

xss一般分為兩類(lèi)：

1.存儲(chǔ)型xss

存儲(chǔ)型xss攻擊時(shí)提交的代碼會(huì)存放在服務(wù)器端，下次訪問(wèn)的時(shí)候不需要再重復(fù)提交代碼。

2.反射型xss

發(fā)出請(qǐng)求時(shí)xss代碼出現(xiàn)在url中被當(dāng)成輸入發(fā)送給服務(wù)器端，服務(wù)器端進(jìn)行解析后把xss代碼和響應(yīng)一同發(fā)送給客戶端由瀏覽器進(jìn)行解析，因?yàn)橛幸淮畏瓷涞倪^(guò)程所以叫反射型xss。

3.防范措施

1.限制在CGI中用戶提交數(shù)據(jù)的長(zhǎng)度。

2.對(duì)所有用戶提交內(nèi)容進(jìn)行可靠的輸入驗(yàn)證。這些提交內(nèi)容包括URL、查詢關(guān)鍵字、http頭、post數(shù)據(jù)等。

3.對(duì)文件的參數(shù)傳遞做嚴(yán)格的過(guò)濾、阻塞或忽略其它的任何東西（過(guò)濾“<”“>”“script”“iframe”等）；

4.保護(hù)所有敏感的功能，以防被bots自動(dòng)化或者被第三方網(wǎng)站所執(zhí)行。實(shí)現(xiàn)session標(biāo)記（session

tokens）、CAPTCHA系統(tǒng)或者HTTP引用頭檢查

5.設(shè)置HTTP only頭部，禁止js代碼訪問(wèn)cookie。

5.如果web應(yīng)用必須支持用戶提供的HTML，請(qǐng)確認(rèn)接收的HTML內(nèi)容被妥善地格式化，僅包含最小化的、安全的tag（絕對(duì)沒(méi)有JavaScript），去掉任何對(duì)遠(yuǎn)程內(nèi)容的引用（尤其是樣式表和JavaScript）。為了更多的安全，請(qǐng)使用httpOnly的cookie。

6.留心可疑的過(guò)長(zhǎng)鏈接，尤其是它們看上去包含了HTML代碼。如果對(duì)其產(chǎn)生懷疑，可以在瀏覽器地址欄中手工輸入域名，而后通過(guò)該頁(yè)面中的鏈接瀏覽你所要的信息

7.使用第三方WEB防火墻增強(qiáng)整個(gè)網(wǎng)站系統(tǒng)安全