跨網站腳本攻擊

攻擊者將惡意代碼注入到網頁上，其餘用戶在加載網頁時就會執行代碼，攻擊者可能獲得包括但不限於更高的權限（如執行一些操做）、私密網頁內容、會話和cookie等各類內容。

這些惡意代碼一般是JavaScript、HTML以及其餘客戶端腳本語言。

例如：

echo "歡迎您，".$_GET['name'];

若是傳入一段腳本<script>[code]</script>，那麼腳本也會執行。

用這樣的URL將會執行JavaScript的alert函數彈出一個對話框：http://localhost/test.php?name=<script>alert(123456)</script>

經常使用的攻擊手段有：

• 盜用cookie，獲取敏感信息；
• 利用iframe、frame、XMLHttpRequest或上述Flash等方式，
  • 以（被攻擊）用戶的身份執行一些管理動做，
  • 或執行一些通常的如發微博、加好友、發私信等操做；
• 利用可被攻擊的域受到其餘域信任的特色，
  • 以受信任來源的身份請求一些平時不容許的操做，
  • 如進行不當的投票活動；
• 在訪問量極大的一些頁面上的XSS能夠攻擊一些小型網站，實現DDoS攻擊的效果。

防範方法

• 使用htmlspecialchars函數將特殊字符轉換成HTML編碼，過濾輸出的變量