XSS主要是通过劫持用户COOKIE,执行JS脚本进行攻击
如何发现:
可以使用<script>alert(/yourname/)</script> script最具有代表性
也可以使用其他标签 <b>asdasd</b> 看有没有效果, 闭合标签 >"<b>asdasd</b>
最核心的原理就是打破了页面布局,插入了自己定义的HTML标签
如何防御:
1. 设置HTTP ONLY
2. 对用户输入进行合法性校验,最好前端及后端均进行校验,至少后端需做校验,防止绕过,如长度、数字型
3. 进行HTML实体编码,如<转 '<;',>转‘>;’
4. 白名单:过滤危险标签