xss發(fā)生的原因，惡意的插入腳本至代碼中
惡意攻擊者往Web頁面里插入惡意Script代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的Script代碼會被執(zhí)行，從而達到惡意攻擊用戶的目的。

反射型攻擊

植入腳本放在url后面
然后在頁面中打印出來

存儲型

存儲型攻擊方式和反射型最大的區(qū)別就是不通過URL來傳播，而是利用站點本身合法的存儲結構，比如評論。任何用戶都可以通過站點提供的接口提交評論內容，這些評論內容都被存儲到服務器的數據庫。當用戶訪問這些評論的時候，服務器從數據庫提取內容插入到頁面反饋給用戶。如果評論內容本身是具備攻擊性內容，用戶無一幸免。

反射型
https://www.toutiao.com/search?item=

Xss 防護措施

針對 反射型攻擊 可以在服務端對查詢進行編碼，主要目的就是將查詢文本化，避免在瀏覽器解析階段轉換成為DOM和CSS規(guī)則和JS解析

1、HttpOnly
瀏覽器將禁止頁面的JS訪問帶有HttpOnly屬性的Cookie

2、檢查輸入

Xss本質就是一種“HTML注入”，用戶的數據被當成HTML代碼一部分來執(zhí)行，從而混淆了原本的語義，產生了新的語義

CSRF--跨站點請求偽造