XSS攻击与防护

 

1、XSS攻击原理：

XSS攻击是利用网站的漏洞，例如用户输入之类的post数据到服务器，服务器正常保存，输出到客户端，利用用户端和服务端代码漏洞，没有检测机制，输入恶意代码给服务器，服务器返回以后，客户端执行了这个恶意代码。

简单的来讲就是：想尽一切办法，让客户端执行个人js代码

 

举例：

网页源码：

1 <form action="" method="get"> 
2 <input type="text" name="xss_input"> 
3 <input type="submit"> 
4 </form> 
5  
6 <?php 
7 $xss = $_GET['xss_input'];  
8 echo '你输入的字符为<br>'.$xss;  
9 ?> 

 

正常的流程是：用户输入，而后php获取输入以后，显示给客户端。可是若是客户输入的是<script>alert('da')</script>，那就是至关于返回来的是<script>alert('da')</script>，而后就会被浏览器解析的时候直接执行