【轉】簡單的解釋XSS攻擊

XSS 跨站點腳本 cross site script

怎麼形成攻擊？

舉例：有一個公共的頁面，全部用戶均可以訪問且能夠保存內容，輸入的時候若輸入<script>alert('I am hacker')</script>.因爲這句腳本保存到數據中了，下次別人看到這個內容的時候，瀏覽器端就會彈出一句「I am Hacker」，同理，這個腳本能夠發送用戶的cookie到其餘網站，這樣就成功竊取了用戶的隱祕信息。跨站腳本攻擊指的是攻擊瀏覽器端的用戶信息。

兩個防止攻擊的辦法：

一、在保存用戶輸入數據的時候，將輸入內容編碼。<script>就變成了&lt;script&gt;

這樣作有一個很差，編碼後的數據在非瀏覽器中顯示的時候，會顯示得不友好

二、在顯示的時候，將內容編碼。這樣也不會執行腳本。

如C#編碼的方法是Server.HtmlEncode("<script>alert('I am hacker')</script>")