08-03 XSS 攻击:把恶意脚本塞进页面

08-03 XSS攻击 是把恶意 JavaScript 注入到网页里,让其他用户浏览时执行。


一、它解决什么

它解决的是为什么页面展示用户输入时必须转义和过滤。用户输入不一定是文字,也可能是脚本。

二、一个比喻

像有人在公告栏贴了一张会偷钥匙的假通知,其他人一看就中招。

三、放到系统里看

防护方式包括输出转义、内容安全策略 CSP、避免直接 innerHTML、Cookie 设置 HttpOnly。

四、常见坑 / 学习抓手

常见坑是只过滤 <script> 标签。攻击姿势很多,核心是按上下文正确转义。

一句话总结

XSS 的本质是让浏览器执行了不该执行的用户输入。


关联笔记