XSS漏洞
? ? 今天在公司值班,没太多的事情可以干,上网学习了下XSS漏洞的原理。之前老是听人家说页面返回的数据要转码,防止XSS漏洞攻击,一直一知半解,今天看了一位同学的博客终于是弄明白了。
? ? XSS漏洞又叫XSS又叫CSS(Cross Site Script) 中文的意思是跨站脚本攻击,在web页面插入可执行的脚本,当用户点击页面时候,脚本就被执行了,从而窃取用户cookie,修改页面内容,劫持浏览器等。
? ? 预防XSS漏洞的最好方法是将页面的富文本进行转码,使脚本无法执行。
?
被植入的恶意代码,用户点击页面的时候就会被执行<span><script>getcookie(){....}</script></span>转码后恶意代码就不能执行了<span><script>getcookie(){....}</script>??