web漏洞之xss（學習記錄）

xss又名跨站腳本攻擊，是一種注入攻擊，當web應用對用戶輸入過濾不嚴格，攻擊者寫入惡意的腳本代碼（HTML、JavaScript）到網頁中時，若是用戶訪問了含有惡意代碼的頁面，惡意腳本就會被瀏覽器解析執行致使用戶被攻擊。

常見的危害有：cookie竊取，session劫持，釣魚攻擊，蠕蟲，ddos等。

解決辦法：

1.更新較高版本的jQuery

2.過濾關鍵字，同時注意header，host（建議正則），轉義字符，如「<」轉義字符是&lt;"<"的轉義字符爲&gt;   ,也可使用org.apache.commons.lang.StringEscapeUtils.escapeHtml(str)來轉義。缺點是入庫時候，它的長度要比請求時候的長度要長。注意某些場景下，可能須要將其進行反轉義。

3.先後端同時判斷正誤，限制請求數據。

（作記錄學習用）