你知道该如何有效防御XSS攻击吗

如果你对网络安全感兴趣，想要踏入这个行业，那你一定听到过XSS攻击，其实常见的攻击还有SQL注入、CSRF攻击、DOS攻击等，本篇文章将为大家简单解析下如何防御XSS攻击，希望对你有所帮助，请看下文：

首先我们来认识下XSS攻击：

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

XSS分类有：反射型、存储型、DOM型。

XSS能够造成哪些危害？

弹窗、盗取cookie，而其实呢，xss能够造成的危害远不止这些，还有一些如网站挂马、蠕虫、修改网页内容的高级利用。

XSS防御

方案一：添加HttpOnly

HttpOnly是cookie里面一个属性，假如在cookie里面设置了HttpOnly这个属性，那么JavaScript将无法访问到我们到cookie，但是这个方法也只能是防御cookie劫持。HttpOnly设置规则如下。

方案二：对输入输出做严格过滤

输入输出框是为了方便普通用户与服务器交互用的，所以有些特殊的字符普通用户是用不上的，在PHP中我们可以利用htmlspecialchars()、htmlentities()对HTML做实体转义。如以下字符会被转义为

&（和号）变为 &

"（双引号）变为 &quto;

'（单引号）变为 '

<（小于）变为 ≪

>（大于）变为 >

同样我们可以对我们的输入输出做一些编码转换，如HTML编码、CSS编码、JavaScript编码等。

关于"你知道该如何有效防御XSS攻击吗？"的话题到这里就结束了，千锋网络安全培训课程由经验丰富的技术大牛亲自授课，针对不同阶段的学员制定不同进度的课程，总有一个适合你。想学网络安全的朋友们，点击链接进入网络安全自学视频即可免费试听，也可以咨询在线客服领取免费试听资料。

声明：本站稿件版权均属千锋教育所有，未经许可不得擅自转载。