XSS攻击原理是啥呢

XSS即跨站脚本攻击,是一种常见的黑客攻击手段，他的基本原理就是在web页面运行一些恶意脚本,当这些脚本执行的时候,就可能就会获取到你的密码,或者模拟用户行为做一些恶意动作

XSS一般有三种攻击类型

• 反射性XSS
• 持久型XSS
• DOM-based XSS

反射性XSS,即黑客会恶意引导用户点一些链接，或者广告，而这些链接里面有一些恶意的脚本，就会被服务器解析执行,然后获取用户的信息,往往这些链接会通过短连接的方式隐藏自己

持久性XSS,这种就是就会把恶意脚本放入数据库中,比如他们会在一些评论区进行留言，留言的内容就有一些恶意脚本，这样网站就会把这些留言存储到数据库，当其他用户进行访问的时候，就会查询到，然后执行，做一些恶意行为

DOM-based XSS,这个是在客户端直接运行执行,不需要到服务器进行交互，比如一个安全性不是很高的网站，你在他的搜索框，输入一些恶意代码，然后进行搜索，这段恶意脚本就会被执行，导致一些安全问题

如何解决呢

1. 对于一些不清楚的链接不要去点击
2. 服务端添加http-only头下发到客户端（防止cookie窃取）
3. 对于提交的内容参数进行过滤,过滤掉可以执行的脚本，只对信任的内容提交
4. 可以对html输出内容进行转移，让其脚本失效而不能执行，比如把<html></html>改成&lt;html&gt;这个样子