xss攻击定义

xss攻击全称叫跨站脚本攻击，是一种常见的网络安全漏洞。攻击者通过向网页中注入恶意js脚本，当其他用户浏览该网页时，这些脚本就会
在他们的浏览器中执行，从而窃取用户数据、伪造用户操作，甚至接管用户账户。

xss漏洞的类型

xss漏洞主要分为三种类型：
1.存储型XSS
恶意脚本被永久存储在目标服务器上（如数据库、评论区等），每当用户访问相关页面时，脚本就会被执行。比如，攻击者在留言板中注入恶意
代码，所有查看留言的用户都会受到影响。
2.反射型XSS
恶意脚本通过URL参数传递给服务器，服务器未对输入进行过滤，直接将脚本返回给用户的浏览器执行。比如，攻击者发送一个带有恶意代码的
链接，用户点击后就会触发攻击。
3.DOM型XSS
攻击者利用浏览器端的DOM（文档对象模型）操作漏洞，直接在用户的浏览器中执行恶意脚本。这种攻击不需要服务器的参与，完全在客户端
完成。

xss漏洞的危害

1.窃取用户信息：如Cookie、账号密码等敏感数据。
2.伪造用户操作：如自动发表评论、转账或删除数据。
3.传播恶意内容：如在网页中插入广告、钓鱼链接或病毒。
4.破坏网站信誉：用户信任度下降，甚至可能面临法律风险。

如何防御xss漏洞

1.输入过滤与输出编码
对所有用户输入的内容进行严格过滤，并对输出的数据进行适当的编码（如HTML编码、JavaScript编码）。
2.使用安全的框架和库
使用经过安全验证的框架（如React、Vue）和库，它们通常内置了防御XSS的机制。
3.设置HTTP安全头
在服务器端配置Content-Security-Policy（CSP）头，限制脚本的来源和行为。referer
4.定期安全测试
通过渗透测试和代码审计，发现并修复潜在的XSS漏洞。