08-03 XSS 攻击:把恶意脚本塞进页面
08-03 XSS攻击 是把恶意 JavaScript 注入到网页里,让其他用户浏览时执行。
一、它解决什么
它解决的是为什么页面展示用户输入时必须转义和过滤。用户输入不一定是文字,也可能是脚本。
二、一个比喻
像有人在公告栏贴了一张会偷钥匙的假通知,其他人一看就中招。
三、放到系统里看
防护方式包括输出转义、内容安全策略 CSP、避免直接 innerHTML、Cookie 设置 HttpOnly。
四、常见坑 / 学习抓手
常见坑是只过滤 <script> 标签。攻击姿势很多,核心是按上下文正确转义。
一句话总结
XSS 的本质是让浏览器执行了不该执行的用户输入。