XSS攻击

## XSS攻击

Cross-Site Scripting（跨站脚本攻击）简称 XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。

### XSS攻击的注入方式

- 恶意脚本以script标签方式注入HTML
- URL中的恶意参数
- a标签中href属性的`javascript:`
- DOM 中的内联事件监听器，`location`、`onclick`、`onerror`、`onload`、`onmouseover`等
- JavaScript 中的 `eval()`、`setTimeout()`、`setInterval()`

### XSS攻击防范措施

- 过滤输入，转义HTML
- 避免在可执行字符串的事件或者方法中拼接不可信数据
- CSP

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

XSS攻击 #4

XSS攻击

XSS攻击的注入方式

XSS攻击防范措施

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

XSS攻击 #4

Description

XSS攻击

XSS攻击的注入方式

XSS攻击防范措施

Metadata

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Issue actions