一.概述:

二.实施XSS攻击需要具备的条件

1.需要向web页面注入恶意代码；

2.这些恶意代码能够被浏览器成功的执行。

三.xss攻击主要分两类

XSS主要分为两大类：非持久型攻击、持久型攻击。

• 非持久型攻击（反射型XSS, DOM-based 型）：经过后端，不经过数据库；
• 持久型攻击（存储型XSS）：经过后端，经过数据库。

常见的 XSS 攻击有三种：反射型、DOM-based 型、存储型。

1.持久型攻击

存储型XSS

2.非持久型攻击

(1)反射性XSS

(2)DOM-based 型

四.如何避免

Xss漏洞在web站点运用中是最为常见的漏洞之一，XSS会以各种方式执行恶意的Java代码来破坏用户使用的站点。我们能够修补XSS漏洞，但是我们也不能100%的肯定没有人可以打破我们的过滤机制。恶意的攻击者总能够找到办法，绕过我们的过滤机制，从而进行恶意代码的执行。

• 获取用户的输入，不用innerHtml,用innerText.
• 对用户的输入进行过滤，如对& < > " ' /等进行转义；

总的来说:

看完恭喜你,又知道了一点点!!!

你知道的越多,不知道的越多! 

~感谢志同道合的你阅读,  你的支持是我学习的最大动力 ! 加油 ,陌生人一起努力,共勉!!