xss攻击危害大吗？xss攻击也是我们比较常见的一种攻击，所以我们再学习网络安全的时候还是要多多关注一下，今天我们就一起来看看如何让防御XSS攻击。

XSS(Cross Site Scripting), 跨站脚本攻击。因为CSS名字被层叠样式表给占用，所以就改成XSS。恶意用户将代码植入到提供给其他用户使用的页面中，未经转义的恶意代码输出到其他用户的浏览器被执行。用户浏览页面的时候嵌入页面中的脚本( js )会被执行，攻击用户。造成一些破坏，比如会盗取用户信息。

图片源自网络

常见的 XSS 攻击有三种：反射型XSS攻击、DOM-based 型XXS攻击以及存储型XSS攻击。

1.反射型XSS攻击

反射型 XSS 一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

2.存储型XSS攻击

也叫持久型XSS，主要将XSS代码提交存储在服务器端（数据库，内存，文件系统等），下次请求目标页面时不用再提交XSS代码。当目标用户访问该页面获取数据时，XSS代码会从服务器解析之后加载出来，返回到浏览器做正常的HTML和JS解析执行，XSS攻击就发生了。存储型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

3.DOM-based 型XSS攻击

基于 DOM 的 XSS 攻击是指通过恶意脚本修改页面的 DOM 结构，是纯粹发生在客户端的攻击。DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞。

如何防御XSS攻击？

1. 对输入内容的特定字符进行编码，例如表示 html标记的 < > 等符号。

2. 对重要的 cookie设置 httpOnly, 防止客户端通过[xss_clean]读取 cookie，此 HTTP头由服务端设置。

3. 将不可信的值输出 URL参数之前，进行 URLEncode操作，而对于从 URL参数中获取值一定要进行格式检测（比如你需要的时URL，就判读是否满足URL格式）。

4. 不要使用 Eval来解析并运行不确定的数据或代码，对于 JSON解析请使用 JSON.parse() 方法。

5. 后端接口也应该要做到关键字符过滤的问题。

xss攻击危害大吗？以上就是知了姐整理的关于XSS攻击的原理和防御方法，希望可以帮助你们巩固知识并且减少呗攻击的风险。管制知了堂网络安全培训机构，带你了解更多相关问题。