XSS(Cross Site Scripting) 在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺骗用户,一旦得手,他们可以盗取用户帐户信息,修改用户设置,盗取/污染cookie和植入恶意广告等
- 存储型XSS: 恶意用户的Html输入Web程序->进入数据库->Web程序->用户浏览器
- 反射型XSS: 将脚本代码加入URL地址的请求参数里,请求参数进入程序后在页面直接输出,用户点击类似的恶意链接就可能受到攻击
- 验证所有输入的数据(限制长度等等)
- 对所有输出的数据进行适当的处理(转义)
<script>alert()</script> //原
<script>alert()</script> //转义后
XSS 是代码注入问题,CSRF 是 HTTP 问题。