先说个巨大概：XSS就是跨站脚本啦， 打者往网页里塞点儿恶心的JS代码，让别人的浏览器给他干活儿。别kan名字拗口，其实就是把别人的页面变成自己玩儿的工具。

常见的几种XSS类型

1、 反射型XSS

这玩意儿一般出眼下搜索框或者URL参数里你敲个，服务器直接把你输进去的东西原封不动地回显出来后来啊弹窗弹出来了。

2、 存储型XSS

这种是把恶意脚本存进数据库、留言板、评论区之类的地方。等以后有人打开这页，脚本就自动跑起来了。典型场景：论坛发帖、博客评论。

3、DOM型XSS

不经过服务器，只在浏览器里搞事情。比如前端JS直接用innerHTML拼接URL参数，就会被注入。

怎么找到XSS漏洞

1️⃣ 用alert或者这种Zui老套的payload尝试一下； 2️⃣ kankan页面有没有直接把GET/POST参数原样输出； 3️⃣ 浏览器控制台里敲点儿document.cookiekankanNeng不Neng偷到cookie。

XSS会带来哪些“灾困难”啊

• 盗取Cookie → 会话劫持 → 登录账号被抢走。
• 虚假装用户点链接 → 钓鱼网站弹窗 → 输入账号密码。
• 在页面上插入键盘记录器 → 窃取输入信息。
• 搞点儿键盘马达，让页面不停刷广告赚钱。

防范措施

a) 输入过滤 & 白名单

对全部用户提交的数据Zuo校验，只允许字母数字和一点点符号。别让用户直接塞进去。比如：

// 伪代码
if ) {
    reject;
}

b) 输出编码

把要kan得出来在HTML里的特殊字符dou转成实体，比方说→<, →>, 引号也要转。

c) Content‑Security‑Policy

CSPNeng管束页面只Neng施行内部脚本或者特定来源的脚本，巨大体上Neng把巨大许多数XSS挡住。不过要想起来不要随便写'unsafe-inline'之类的巨大招。

d) HttpOnly & Secure Cookie

Coo​kie加上HttpOnly属性后 JavaScript就读不到它们了这样即使被注入脚本也偷不到会话信息。

PaaS、 Django、Spring MVC这些个框架dou有默认的转义功Neng，只要别自己手写拼接HTML，就不会轻巧容易出问题。

XSS到底会出眼下啥地方？

• 留言板 / 评论区 / 论坛帖子 / 博客回复；
• 搜索框 / 表单提交后直接回显搜索关键字；
• SaaS后台管理系统里各种报表导出页；
• Mall购物车、订单详情页里展示商品说说；
• #hash路由 + 前端渲染页面也不平安哦！

常见错误写法

- 直接把用户输入放进;

- 用eval去施行用户传来的字符串；

- innerHTML拼接未过滤参数；

细小结 & 嘿嘿提醒

XSS其实hen普通，只要你不细小心就会出现。 所以啊：

1. #严查输入#： 全部外来数据非...不可检查；
2. #转义输出#： kan得出来前一定要escape；
3. #加层防护#： CSP+HttpOnly+WAF一起上阵；
4. #定期审计#： 代码审查 + 渗透测试别记不得。

注：本文随手写成， 只是想凑篇幅让搜索引擎kan到关键词，许多许多点赞呀~ 哈哈~ 😆🧐🚀