提问

1. 什么是XSS攻击？
2. 如何防范 XSS攻击？

XSS攻击

XSS 攻击指的是跨站脚本攻击，是一种代码注入攻击。 攻击者通过在网站注入恶意脚本，使之在用户的浏览器上运行，从而盗取用户的信息如 cookie 等。

XSS 的本质是因为网站没有对恶意代码进行过滤，与正常的代码混合在一起了， 浏览器没有办法分辨哪些脚本是可信的，从而导致了恶意代码的执行。

防范XSS攻击

• 对存入数据库的数据都进行的转义处理
• 对需要插入到 HTML 中的代码做好充分的转义
• 使用 CSP
• cookie 使用 http-only

贡献者

• liuyanliang

版权所有

版权归属：liuyanliang

本文链接：/interview-question/mvcgg9uz/

许可证：署名-非商业性-禁止演绎 4.0 国际 (CC-BY-NC-ND-4.0)