什么是 XSS
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
这个文章写得很好
XSS 攻击的介绍
http://xxx/search?keyword="><script>alert('XSS');</script>
解决方法:escapeHTML() 转义
通过 HTML 转义,可以防止 XSS 攻击。(防止一部分)
- 做了 HTML 转义,并不等于高枕无忧。
- 对于链接跳转,如 <a href="xxx" 或 location.href="xxx",要检验其内容,禁止以 javascript: 开头的链接,和其他非法的 scheme。