定義

XSS（Cross SiteScripting）、翻譯的話，Cross腳本。自定器，科長DOM樹時，執行了意想不到的JS腳本，囙此發生了安全問題。

在上面簡單的給了XSS攻擊的正義看不懂正義所以按照實際情況來介紹吧XSS攻擊

我們攻擊XSS的時候我會經常打聽的。“反射型XSS”、“記憶體型XSS”、“DOM XSS”等等，根據數據記憶位置的角度介紹XSS攻擊。

個人瞭解XSS攻擊是段落JS腳本服務器，還有後臺服務器直接把腳本返回瀏覽器。然後在布朗瑪DOM樹上注入腳本

XSS攻擊方式

例如，Google如果創建用戶詳細的資訊，就要經過幾個程式。用戶製定瀏覽器終端清單資訊-2用戶將糧食資訊發送到服務器裏-3。在服務器中保存用戶資訊，並將用戶資訊返回瀏覽器。根據瀏覽器終端服務器返回的資訊、租賃頁面DOM元素顯示用戶資訊

一般用戶輸入的糧食資訊是一些用戶的基本資訊，但不知道行踪的哥哥們會被稱為地名。”“一個解釋為script腳本，網頁上彈出。

這是我們完全信任用戶輸入的結果，用戶可以按照輸入框執行想要執行的東西。

XSS攻擊的危害

通過上面介紹我們已經知道了XSS攻擊的原理，那麼XSS攻擊帶來的，其實我們可以通過。在JS腳本上執行了什麼動作？-彈出alert，影響用戶體驗-創建網站，導入用戶讀取cookie資訊、用戶註冊證

正是JS强大，所以賦予JS的很多攻擊手段，知道了。攻擊XSS，我們要找到方法解决這個問題。

XSS攻擊的防禦

XSS攻擊的覈心是布朗格雷德。DOM文字解析JS腳本注入JS腳本。就這樣XSS攻擊的防禦手段是根據布朗那科長進行防禦。

我們使用的話，HTML編碼可以瀏覽需要Render的資訊編碼。Brower DOM元素時，需要自動解碼的資訊、上述資訊，比起字串解釋JS腳本，這是我們的防禦。XSS攻擊的覈心想法。

這裡我們先打聽一下。HTML符號，下一段Spring提供了Htmls類程式碼：switch（character）{case“：return“：case“：return””“：return””“““：return””“：return””“““““”“”“““”“：case事實上，HTML編碼是換幾個特殊文字，那麼同樣是Html D編碼”，“這個字串換成特殊字元。

下麵提供幾種常見編排編碼解决XSS攻擊性方案：

使用SpringMVC服務器後端記憶體瀏覽器瀏覽器時使用Html編碼庫庫

Controller方法的參數種類是基本資料類型，一般是Java類型。

服務器通過Request的getParameter的參數String類型，WebDaBinder角色將字串類型轉換為服務器真正需要的形式。

每次來請求的參數解析是使用的。WebDataBinderFactory製作一個Binderfactory對象，還有這個，binder最終解析的參數對象。WebDatabdabinderfactory NVocablerMethood中的定義，沒有什麼區別的Controller方法不同。

這種解決方案容易實現，成為自定義的BaseController，非常方便。

但是後端所有的數據都收到了編碼之後…不僅熱毒性下降，還可以佔用資料庫空間。

服務器前面可發生XSS攻擊資訊使用Html符號

服務器前端可能發生XSS攻擊資訊使用Html符號，還有瀏覽器前編碼資訊，隨後蒐索XSS攻擊。

該解決方案避免了服務器後端程式碼帶來的數據熱毒性不好的問題，但可以新增前部分的工作量。需要對各種欄位的編碼。

服務器前面加密和服務器後端加密，可以根據自己的實際情況選擇。

使用傳單框架

前框架，比如vue，angular在基本情况下開始。XSS攻擊的防禦，所以使用了這個框架…我們不用擔心XSS攻擊性的問題

XSS攻擊雖然很簡單但是損失很大所以大家在開發中要注意這個問題特別是B2C項目

喜歡這篇文章的朋友。歡迎光臨lebroncen第一個小時更新內容