如何预防xss攻击
xss跨站请求攻击
XSRF跨站请求伪造
XSS攻击
一个博客网站,发表一篇blog,其中嵌入 <script>脚本
脚本内容:获取cookie,发送到我的服务器(服务器允许跨域)
发布这篇blog,有人查看,我就轻松收割访问者的cookie
<!DOCTYPE html>
<html lang="en">
<head>
<meta http-equiv="Contect-Type" charset="utf-8">
<title>xss</title>
<style>
</style>
</head>
<body>
<p>part1</p>
<p>part2</p>
<p>part3</p>
<script>alert(document.cookie);</script>
</body>
</html>
XSS预防
替换特殊字符 如变 < 为&|t; >为>;
这样 <script> 变为&|t;script为>;