金融项目开发～安全之xss

xss是跨站脚本攻击的简称

往往是攻击者输入的脚本决定攻击的力度

简单的就是一个js弹框,为了检测系统有没有xss漏洞～

其他的还有嵌入ifrom，img一类的～

危害是可以窃取用户cookie～伪造用户登陆～

发生这种原因一般都是用户输入了脚本被浏览器执行了～

如果你要想预防这种情况～

不要尝试在输入端去解决攻击，貌似不是太好～

网络上很多介绍在输入端做检测做判断～

但是在输入端做检测的话，

一是代码量繁杂，其次黑客总是想着如何绕过判断，而且一些未知的xss漏洞也发现不了～

反其道而行～在输出端作处理～

推荐使用OWASP提供的ESAPI函数库～

处理输出～就能很好的防护xss了

防止cookie被窃取用httponly可以解决，将关键的cookie用httponly