xss又名跨站腳本攻擊,是一種注入攻擊,當web應用對用戶輸入過濾不嚴格,攻擊者寫入惡意的腳本代碼(HTML、JavaScript)到網頁中時,若是用戶訪問了含有惡意代碼的頁面,惡意腳本就會被瀏覽器解析執行致使用戶被攻擊。web
常見的危害有:cookie竊取,session劫持,釣魚攻擊,蠕蟲,ddos等。apache
解決辦法:後端
1.更新較高版本的jQuery瀏覽器
2.過濾關鍵字,同時注意header,host(建議正則),轉義字符,如「<」轉義字符是<"<"的轉義字符爲> ,也可使用org.apache.commons.lang.StringEscapeUtils.escapeHtml(str)來轉義。缺點是入庫時候,它的長度要比請求時候的長度要長。注意某些場景下,可能須要將其進行反轉義。cookie
3.先後端同時判斷正誤,限制請求數據。session
(作記錄學習用)xss