XSS 攻击

XSS（Cross Site Scripting，跨站脚本攻击），是指攻击者利用站点的漏洞，在表单提交时，在表单内容中加入一些恶意脚本，当其他正常用户浏览页面，而页面中刚好出现攻击者的恶意脚本时，脚本被执行，从而使得页面遭到破坏，或者用户信息被窃取。

防御方式

• 输入过滤： 对于用户输入的数据进行过滤和校验，确保数据符合预期的格式和内容，并且不包含恶意脚本代码。可以使用一些开源的输入验证库，如 OWASP ESAPI 等。

• 输出编码： 在将数据输出到页面上之前，对数据进行编码，例如将特殊字符转义为 HTML 实体，或者使用 JavaScript 库中的 escape()或 encodeURIComponent()方法对数据进行编码。

• HttpOnly Cookie： 在设置 Cookie 时可以使用 HttpOnly 属性，禁止客户端 JavaScript 代码访问 Cookie，从而防止攻击者通过 JavaScript 技术窃取 Cookie 中的敏感信息。

• CSP： Content Security Policy（内容安全策略），是一种可以在网站上配置的安全策略，可以限制页面中可以加载的资源和可执行的脚本，从而防止恶意脚本的注入。

• 消息过滤： 对于用户提交的数据，可以对其中的特定字符进行过滤，例如< > / ' "等字符，从而防止攻击者通过注入恶意脚本代码来攻击网站。

• HTTPS： 使用 HTTPS 协议进行通信，可以确保数据在传输过程中的安全性，从而防止攻击者通过网络中的中间人攻击来窃取数据或者注入恶意代码。