xss (Cross site Script)跨站脚本攻击,常见的类型:反射型xss和存储型xss和DOM Based Xss
常见的防御方式有这么几种:
1)HttpOnly 浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie
严格来说,HttpOnly并非为了对抗XSS--HttpOnly解决的是XSS后的cookies劫持攻击
2)输入检查
一般是检查用户输入的数据中是否包括一些特殊字符,如< 、>, ‘ ,''等。输入检查的逻辑,必须放在服务端代码中实现。如果只是在客户端使用Javascript进行输入检查,是很容易被攻击者绕开的。
3)输出检查
使用安全的编码函数,,如针对HTML代码的编码方式是HtmlEncode
