Xss是一种跨站脚本攻击,将部分html代码侵入到网页中,当用户打开网页时,程序便在浏览器中执行。以盗取用户名密码、cookie。
假设有一个正常的html页面,代码为<input type="text" name="nick" value="xiaomao">,如果在输入框中输入的是非正常数据,如<script>alert("haha")</script>,此时再重定向到该页面时会弹出一个弹框,该弹框就是侵入的代码。
在用户将内容通过页面存储到数据库,其他用户在打开该内容时,会由于侵入的恶意代码进行服务攻击。
非持久化攻击主要是对当前页面有一定影响。一般是在页面植入一个链接,用户访问链接时,植入的脚本会在用户浏览器执行。
在服务器接口获取到web端参数之前,在过滤器中进行对特殊字符的转码。比如把”<”, “>”, “&”等这些特殊字符转码即可。
原文:https://www.cnblogs.com/youzhongmin/p/9255683.html