前言

前端攻击三架马车之xss攻击，xss全程跨站脚本攻击（和css同名修改为xss），被攻击的页面执行了非信任脚本导致。这些非信任脚本通常来源自用户的输入。

xss 种类

xss常分为反射性xss、存储型xss和dom型xss，每种攻击各有特点。种类多、攻击点多。防御难度大，同时破坏力也是最大，能够广泛传播。 反射型：xss代码发送到服务端，服务端未经处理直接返回页面，页面触发依次xss攻击。 存储型: xss代码发送到服务端保存，下次返回时服务端返回直接触发xss攻击。 dom型：由dom触犯的xss的攻击，比如eval等动态执行的函数导致的（和前面两种相比较是有没有动态执行，还是在页面一开始就触发xss）

上面可以看出xss种类拆分的意义是让开发从这几个角度去切入防御手段，而不是一团乱码处理。本质上其实都是对不信任数据的处理。

xss 防御手段

转义是最有效的凡是