浅谈XSS攻击

XSS发生的前置条件

因为浏览器本身的设计缺陷，浏览器只负责解释执行HTML+CSS+JavaScript，并不会检查其安全性，故而如果我们的服务器没有对XSS漏洞准备安全的防御措施，就会存在XSS漏洞。
从大体上来说我们将XSS攻击过程概括为一下几部分：
1.用户登录web应用程序上的网页，这个网页已经被攻击者利用各种手段注入JavaScript等脚本代码。
2.服务器对用户的浏览请求做出反应，用户获取攻击者注入过的代码的url。
3.攻击者的JavaScript代码在浏览者的浏览器中打开；此时可能会伴随用户浏览器向攻击者发送会话令牌，然后攻击者挟持用户会话等现象的发生。
我们看一下XSS的大概的特点：
1.XSS就是web应用程序上的计算机安全漏洞，也是黑客经常使用的攻击手段，对于攻击者而言需要很好的计算机语言技术，如JavaScript、HTML5，Ajax、CSS和其他的脚本语言。
2.XSS产生的主要的原因是Web浏览器对用户的过滤不足导致的。
3.通过将代码注入到网页，虽然对web服务器没有直接伤害，但是它借助网络传播，其危害最终会反馈到服务器。
4.XSS漏洞会如此的普遍主要是因为web浏览器本身的设计就是不安全的，开发人员在交互的过程中的设计阶段忽略了XSS防护，而且大部分人还没有认识到XSS的危害或是错误的认为XSS就只会在浏览器中弹出一个窗口而已，而且触发跨域脚本的方式简单