跨站脚本攻击（XSS）是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理，下一章（XSS 攻击进阶）将深入讨论 XSS 进阶攻击方式。 本系列将持续更新。 XSS（Cross Site Script），全称跨站脚本攻击，为了与 CSS（Cascading Style …

XSS攻击全称跨站脚本攻击，是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 1. 在任何一个表单内，你输入一段简单的js代码：<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</…

XSS 的防御很复杂，并不是一套防御机制就能就解决的问题，它需要具体业务具体实现。 目前来说，流行的浏览器内都内置了一些 XSS 过滤器，但是这只能防御一部分常见的 XSS，而对于网站来说，也应该一直寻求优秀的解决方案，保护网站及用户的安全，我将阐述一下网站在设计上该如何避免 …

在前些章节 （web安全系列（一）：XSS 攻击基础及原理）以及（Web安全系列（二）：XSS 攻击进阶（初探 XSS Payload））中，我详细介绍了 XSS 形成的原理以及 XSS 攻击的分类，并且编写了一个小栗子来展示出 XSS Payload 的危害。 目前来说，XS…