? ? ? ?XSS,跨站腳本攻擊,將腳本攻擊載荷寫入網頁執行以達到對網頁客戶端訪問用戶攻擊的目的。
? ? ? 筆者所供職的公司前不久被發現頁面存在xss漏洞,具體就是在檢索框中輸入文本<script>alert(/xss/)</script>來達到攻擊目的。這種情況發生最常見的就是程序沒有對用戶的輸入進行特殊處理就直接原樣返回客戶端回顯,前端程序在執行的時候被注入了js腳本。 ?
? ? ?解決辦法就是對用戶的輸入進行處理,尤其是那種對用戶的輸入要原樣輸出到頁面展示的邏輯。無論哪種編程語言,都是對一些容易造成xss注入的關鍵字過濾,一般處理就是過濾輸入的關鍵字,類似<>,& ,', " ?等轉化為HTML實體,在PHP當中用htmlspecialchars這個函數來處理。