1. Understanding XSS Attacks

跨站脚本打是一种常见且凶险的平安吓唬， 它允许打者在网站页面上注入恶意脚本，从而窃取用户信息、劫持用户会话、传播恶意柔软件等。

XSS打通常发生在Web应用的输入输出环节， 打者通过在网页中添加恶意的JavaScript代码，弄得其他用户浏览器施行这些个恶意脚本。

XSS打有三种基本上类型：

• 反射型XSS：恶意脚本通过URL或HTTP求传递到Web服务器， 并反射回客户端，弄得脚本施行。
• 存储型XSS：打者将恶意脚本存储在服务器上， 其他用户访问该页面时脚本被自动施行。
• DOM型XSS：恶意脚本通过客户端JavaScript操控DOM树来施行，打发生在客户端而非服务器端。

2. Input Validation and Filtering

输入验证是别让XSS打的第一道防线。随便哪个来自用户的输入都兴许包含恶意脚本，所以呢，非...不可对全部输入进行严格的验证和过滤。

能用如下的PHP函数来对用户输入进行编码， 别让XSS打：

function sanitize_input {
    return htmlspecialchars;
}

3. Output Encoding

即用户输入已经经过过滤，在输出内容时仍需进行输出编码。的HTML内容进行编码，能别让恶意脚本被施行。

---