xss又名跨站脚本攻击,是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中时,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击。
常见的危害有:cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。
解决办法:
1.更新较高版本的jQuery
2.过滤关键字,同时注意header,host(建议正则),转义字符,如“<”转义字符是<"<"的转义字符为> ,也可以使用org.apache.commons.lang.StringEscapeUtils.escapeHtml(str)来转义。缺点是入库时候,它的长度要比请求时候的长度要长。注意某些场景下,可能需要将其进行反转义。
3.前后端同时判断正误,限制请求数据。
(做记录学习用)