XSS 跨站脚本攻击

一、XSS 是什么?

全称跨站脚本攻击 ,大白话:黑客往正常网站里偷偷塞恶意代码,浏览器分不清好坏,直接执行这些代码,从而偷数据、搞破坏。

二、核心原理

网站没过滤用户输入的内容,把用户写的恶意代码,直接展示给其他访客,浏览器当成正常脚本运行。

三、3 种常见类型(最简单区分)

  1. 反射型 XSS 黑客做个带恶意代码的链接,你点了就触发,代码不存服务器,骗点击才中招,一次性
  2. 存储型 XSS(最危险) 黑客把恶意代码发在评论、留言、帖子里,存进服务器,所有打开这个页面的人都会自动执行,持久危害。
  3. DOM 型 XSS 不经过服务器,直接修改前端页面结构,本地执行代码,更隐蔽。

四、主要危害

  • 偷 Cookie(登录凭证,直接盗号)
  • 跳转到钓鱼、木马网站
  • 窃取账号、隐私信息
  • 篡改网页内容

五、最简单防御方法

  1. 过滤用户输入,删掉 / 转义<script>等危险代码
  2. 页面输出内容时转义,让代码变成普通文字
  3. 给 Cookie 加HttpOnly,禁止 JS 读取
  4. 开启 CSP 策略,限制可运行的脚本来源
相关推荐
成都渲染101云渲染66663 小时前
如何在3ds Max中实现更快、更高质量的渲染
前端·javascript·人工智能
闲猫5 小时前
Spring AI 对接Deepseek ChatModel 聊天对话
java·前端·spring
自信的未来7 小时前
JSON 工具|Web Worker 工程化打包 + 语法自动修复 + 多语言代码生成实战
java·前端·json
全栈前端老曹7 小时前
【MongoDB】安全与权限管理 —— 用户认证、角色权限、SSL 加密
前端·javascript·数据库·安全·mongodb·nosql·ssl
zhangxingchao8 小时前
AI大模型核心八:从 Agent Skill、长文档 RAG 到知识库更新与训练策略
前端·人工智能·后端
zhangxingchao9 小时前
AI大模型核心七:从 Workflow、RAG、记忆治理到幂等性
前端·人工智能·后端
gyx_这个杀手不太冷静9 小时前
Agent开发进阶指南(第 1 章):AI Agent 到底是什么?
前端·agent·ai编程
小小小小宇10 小时前
模型相关知识
前端
小小小小宇10 小时前
模型相关知识二
前端
IT_陈寒10 小时前
Python装饰器竟然偷偷改了函数名?这个坑我爬了三天
前端·人工智能·后端