XSS 攻击在它的面前都弱爆了！

虽然双十一刚刚过去不久，可是对不少工程师来讲，连续熬夜加班的「噩梦」彷佛尚未过去。尤为是像双十一这种活动，对于电商网站的工程师们来讲，他们须要彻夜的加班加点来保障网站的稳定性和安全性。固然，面对上千亿的销售额，更是让全部的电商平台工程师们，对安全问题不敢有任何一丝丝的怠慢。

XSS：成为网站安全的「头号」大敌

跨站脚本攻击（XSS）是客户端脚本安全中的头号大敌，曾屡次位于 OWASP TOP 10 威胁的榜首。安全研究人员在大部分最受欢迎的网站，包括 Google、Facebook、 Amazon、 PayPal 等，都发现这个漏洞的存在。这些漏洞的存在，让黑客能够经过「HTML注入」篡改网页，从而插入恶意的脚本，在用户浏览网页时，控制用户浏览器。

举个例子，可让你们从攻击的角度体验一下 XSS 的威力。经过 XSS 攻击成功后，攻击者可以在你的浏览器中植入恶意的脚本，如 JavaScript、Flash 等。这类脚本每每能够读取浏览器的 Cookie 对象，从而发起「Cookie劫持」攻击。说的直白点，若是你的 Cookie 中保存过一些登录凭证，攻击者就能够不经过密码，直接进入你的用户。

除了刚刚举例的「Cookie劫持」外，XSS 漏洞还常被用于发动恶意软件传播(蠕虫攻击),会话劫持、恶意重定向等。它破坏力强大，且产生的情景复杂，很难快速修补。因此，如何快速的防护各种 XSS 攻击，是一个亟需解决的问题。

RASP 为网站安全「保驾护航」

RASP（Runtime application self-protection）是一种新型应用安全保护技术，它将保护程序想疫苗同样注入到应用程序和应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具有自我保护能力，当应用程序遇到特定漏洞和攻击时不须要人工干预就能够进行自动从新配置应对新的攻击。

RASP 的工做原理以下图所示，这种安全策略在可疑行为进入应用程序时并不拦截，而是先对其进行标记，在输出时再检查是否为危险行为，因此可以大大减小误报和漏报的几率。

RASP 也是目前业界已知的对 SQL 注入防御最高的一种手段，并且识别率很是高，它可以有效地解决电商网站的数据安全和泄露问题。

好比像 XSS 这种攻击，在RASP面前就不值一提。RASP 定制了针对 XSS 攻击的规则集和防御类，而后采用 Java 字节码技术，在被保护的类被加载进虚拟机以前，根据规则对被保护的类进行修改，将防御类织入到到被保护的类中。因此在RASP可以很是有效地抵御 XSS 这种攻击。

OneRASP（实时应用自我保护）是一种基于云的应用程序自我保护服务， 能够为软件产品提供实时保护，使其免受漏洞所累。