方维网络谈网站攻击之跨站脚本攻击XSS

    跨站脚本攻击简称XSS，或许很多程序员编写代码的时候没有意识到这种攻击，也没有做相应的防范，然而可能出于幸运，网站安然无恙，没有人对网站进行破坏行为，然而，当网站逐渐做大，访问的用户越来越多，越来越多的黑客关注你的网站，越来越多的竞争对手觊觎你的网站，那么你的网站要免受攻击几乎是不可能的，唯一的解决办法就是熟悉这种攻击方法，然后做相应的防范工作。

    XSS一般可以实现以下两种方法实现：

    1、通过用户将恶意的脚本命令输入到接收“不干净”用户输入的网站中；
    2、通过直接在页面上显示用户的输入。

    第一种情况称作“被动注入”（PAssive Injection）。在被动注入中，用户将“不干净”的内容输入到文本框中并将其保存到数据库，以后再重新在页面上显示。第二种方法称作“主动注入”(Active Injection)，涉及的用户将“不干净”的内容输入到文本框中并将输入的内容立刻在页面显示出来，这两种方式都是非常邪恶的，破坏力可以很强。

    比较常见的出现XSS攻击情况的网站板块一般是留言板块和评论板块，比如通过输入一段Javascript代码，使任何打开这个页面的用户跳转到另外一个非用户希望的网站，或者是把用户的COOKIE信息和输入信息发送到另一个网站进行保存，从而盗取用户账号资料，这将非常危险。

    解决办法其实很简单，只要在用户输入保存的时候进行过滤，进行HTML编码，既可以阻止这种跨站脚本攻击。