xxs跨站脚本攻击介绍?

跨站脚本(xss)攻击本质上是一种注入攻击（有兴趣了解更多注入攻击可以看这里）。其原理，简单的说就是利用各种手段把恶意代码添加到网页中，并让受害者执行这段脚本。XSS的例子只要百度一下有很多。XSS能做用户使用浏览器能做的一切事情。可以看到同源策略无法保证不受XSS攻击，因为此时攻击者就在同源之内。

XSS攻击从攻击的方式可以分为

(1)反射型

(2)存储型

(2)文档型

这种分类方式有些过时，长久以来，人们认为XSS分类有以上三种，但实际情况中经常无法区分，所以更明确的分类方式可以分为以下两类：

(1)client(客户端型)

(2)server(服务端型)

当一端xss代码是在服务端被插入的，那么这就是服务端型xss，同理，如果代码在客户端插入，就是客户端型xss。

防止xss攻击–转义

无论是服务端型还是客户端型xss，攻击达成需要两个条件

(1)代码被注入

(2)代码被执行

任何时候都不要把不受信任的数据直接插入到dom中的任何位置,一定要做转义,其实只要做好无论任何情况下保证代码不被执行就能完全杜绝xss攻击。