xss攻击本质:
浏览器在解析html代码的时候,遇到闭合的script标签,会执行其中的js代码,黑客利用 浏览器解析一段html代码的能力,恶意插入js代码,使得浏览器 执行黑客的代码
xss常见漏洞:
1:反射型
利用服务器在接受到浏览器发送的内容后,再直接返回给浏览器,然后浏览器 直接将返回结果显示在页面上
如:https://www.jianshu.com/p/0edad525821b
2:存储型
某些地方需要用户输入内容,并保存到数据库,下次浏览器会读取数据库内容直接显示在页面上
如:https://www.jianshu.com/p/790fb57f3acb
3:dom型
利用某些页面 直接读取页面上可以动态更改的内容,并显示在页面上
如:https://www.jianshu.com/p/790fb57f3acb
防御:
看上面的漏洞,都是因为浏览器直接显示危险内容,导致有可能解析了js代码,所以预防手段就是在显示 内容前 做危险字段过滤
来源:https://www.cnblogs.com/mrzhu/p/12298168.html