XSS打概述

XSS打，即跨站脚本打，是一种常见的Web平安漏洞。打者通过在目标网站注入恶意脚本， 当其他用户访问该网站时这些个恶意脚本会在用户的浏览器中施行，从而获取用户的敏感信息，如登录凭证、Cookie等。

存储型XSS

存储型XSS是指打者将恶意脚本存储在目标网站的数据库中， 当其他用户访问包含该恶意脚本的页面时脚本会在用户的浏览器中施行。比方说 打者在论坛的留言板中输入恶意脚本：

http:///search?keyword=

反射型XSS

反射型XSS是指打者将恶意脚本作为参数嵌入到URL中，当用户点击包含该URL的链接时服务器会将恶意脚本反射到响应中，从而在用户的浏览器中施行。比方说 打者构造一个恶意链接：

http:///?param=

DOM型XSS

DOM型XSS是指打者通过修改页面的DOM结构，注入恶意脚本。这种打不依赖于服务器的响应，而是直接在浏览器端施行。比方说 打者通过修改页面的URL参数，注入恶意脚本：

CSRF打概述

CSRF打，即跨站求伪造，是一种通过成正规用户向目标网站发送恶意求的打方式。打者利用用户在目标网站的登录状态， 诱用户在已登录的情况下访问恶意网站，从而施行一些敏感操作，如转账、修改密码等。

CSRF打的原理

CSRF打的原理是利用了浏览器的同源策略。同源策略允许浏览器在用户登录目标网站后自动携带该网站的Cookie等认证信息。打者通过构造恶意求，诱用户在已登录的情况下访问该求，从而利用用户的认证信息施行恶意操作。

XSS打的防护措施

1. 输入验证和过滤

对用户输入进行严格的验证和过滤，只允许正规的字符和格式。能用正则表达式或白名单机制来实现。

2. 输出编码

在将用户输入输出到页面时 对其进行编码，将特殊字符转换为HTML实体。能用HTML编码、JavaScript编码等。

3. 设置CSP

CSP是一种HTTP头，用于控制页面能加载的材料来源。通过设置CSP，能管束页面只能加载来自指定域名的脚本，从而别让恶意脚本的注入。

4. 用验证码

在施行敏感操作时 要求用户输入验证码，确保是用户本人在操作。

CSRF打的防护措施

1. 验证求来源

在服务器端验证求的来源，只允许来自正规域名的求。能通过检查HTTP头中的Referer字段来实现。

2. 用CSRF令牌

在表单或链接中添加CSRF令牌，服务器在处理求时验证该令牌的有效性。

3. 设置SameSite属性

在Cookie中设置SameSite属性，管束Cookie在跨站求中的用。

为了别让XSS打， 能采取以下防护措施：

提升网站平安性

网站平安至关关键。因为互联网的飞迅速进步， 网站面临着各种各样的平安吓唬，其中XSS和CSRF打是比比看常见且危害较巨大的两种。为了提升网站的平安性， 需要采取有效的防护措施，如输入验证和过滤、输出编码、设置CSP、用验证码、验证求来源、用CSRF令牌和设置SameSite属性等。一边，还需要定期对网站进行平安审计和漏洞扫描，及时找到和修优良平安漏洞，确保网站的平安稳稳当当运行。

---