跨站脚本是什么意思？想必很多人都是一头雾水，听都没听过，但是信息安全行业的就很熟悉了，今天就和知了姐一起来看看跨站脚本及XSS包括哪三大类型。

跨站脚本是什么攻击？

跨站脚本攻击又叫XSS，CSS  (Cross Site Script) 。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

它与SQL注入攻击相似，SQL注入攻击中以SQL语句做为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，经过插入恶意脚本，实现对用户游览器的控制，获取用户的一些信息。

XSS包括哪三大类型：

(1)持久型跨站：最直接的危害类型，跨站代码存储在服务器(数据库)。

(2)非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。

(3)DOM跨站(DOM XSS):DOM(document object model文档对象模型)，客户端脚本处理逻辑导致的安全问题。

对XSS最佳的防护应该结合以下两种方法：

1、验证所有输入数据，有效检测攻击；

2、对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。

具体如下：

输入验证：某个数据被接受为可被显示或存储之前，使用标准输入验证机制，验证所有输入数据的长度、类型、语法以及业务规则。

输出编码：数据输出前，确保用户提交的数据已被正确进行entity编码，建议对所有字符进行编码而不仅局限于某个子集。

明确指定输出的编码方式：不要允许攻击者为你的用户选择编码方式(如ISO 8859-1或 UTF 8)。

跨站脚本是什么攻击？XSS包括哪三大类型。关注成都网络安全培训机构，带你了解更多相关问题。