XSS分類及防御措施

xss分為三類：

• 反射型XSS(非持久型)發出請求時，XSS代碼出現在URL中，作為輸入提交到服務器端，服務器端解析后響應，XSS代碼隨響應內容一起傳回給瀏覽器，最后瀏覽器解析執行XSS代碼。這個過程像一次反射，故叫反射型XSS。

• 存儲型XSS(持久型)存儲型XSS和反射型XSS的差別僅在于，提交的代碼會存儲在服務器端（數據庫，內存，文件系統等），下次請求目標頁面時不用再提交XSS代碼。

• DOM XSS(客戶端)DOM XSS和反射型XSS、存儲型XSS的差別在于DOM XSS的代碼并不需要服務器參與，觸發XSS靠的是瀏覽器端的DOM解析，完全是客戶端的事情。

XSS的防御措施：

• 過濾轉義輸入輸出

• 避免使用eval、new Function等執行字符串的方法，除非確定字符串和用戶輸入無關

• 使用cookie的httpOnly屬性，加上了這個屬性的cookie字段，js是無法進行讀寫的

• 使用innerHTML、document.write的時候，如果數據是用戶輸入的，那么需要對象關鍵字符進行過濾與轉義

推薦教程：web服務器安全