很多时候自己随手播种下的 xss 代码，有可能会在某一天神奇的带给你惊喜。

编者说：作为JS系工程师接触最多的漏洞我想就是 XSS 漏洞了，然鹅并不是所有的同学对其都有一个清晰的认识。今天我们请来了@卢士杰 同学为我们分享他眼中的 XSS 漏洞攻击，希望能帮助到大家。 XSS（Cross-Site Scripting）又称跨站脚本，XSS的重点不在于跨…

通过在网站中的输入框写入 script 脚本或引入 script 文件，如果网站未过滤输入内容，将会解析该脚本。 如果脚本的功能是获取网站的 cookie，cookie 中又保留一些敏感信息，则后果有可能很严重。 页面将会执行 alert(1)。 页面将会执行 alert(2)…

XSS 的防御很复杂，并不是一套防御机制就能就解决的问题，它需要具体业务具体实现。 目前来说，流行的浏览器内都内置了一些 XSS 过滤器，但是这只能防御一部分常见的 XSS，而对于网站来说，也应该一直寻求优秀的解决方案，保护网站及用户的安全，我将阐述一下网站在设计上该如何避免 …

上一章我谈到了 XSS 攻击的几种分类以及形成的攻击的原理，并举了一些浅显的例子，接下来，我就阐述什么叫做 XSS Payload 以及从攻击者的角度来初探 XSS 攻击的威力。 在黑客 XSS 攻击成功之后，攻击者能够对用户当前浏览的页面植入各种恶意脚本，通过恶意脚本来控制浏…

跨站脚本攻击（XSS）是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理，下一章（XSS 攻击进阶）将深入讨论 XSS 进阶攻击方式。 本系列将持续更新。 XSS（Cross Site Script），全称跨站脚本攻击，为了与 CSS（Cascading Style …