一秒了解XSS攻击方式

由于技术和环境的纷繁复杂，其中每个环节都可能存在安全漏洞，让“有心者”有机可乘。当然Web安全不仅仅是前端领域的责任，网络、后端、硬件等所有相关的环节都有责任。web攻击的方式主要有XXS、跨站请求伪造（CSRF）、DDOS、DNS劫持和会话劫持等。

简单讲解XSS攻击

跨站脚本攻击Cross-site scripting，简称XSS攻击，是最为常见和也是最基本的Web攻击方法。原理就是在用户的浏览器执行一段恶意的javascript代码，使用户加载或执行此恶意代码，来达到窃取信息，获取数据，操作破坏的目的。

比如攻击者可以在网页上发布包含攻击性代码的数据，当浏览者看到此网页时，特定的脚本就会以浏览者用户的身份和权限来执行。

因为这种攻击方式本质还是是通过执行JS来实现的，所以这种攻击又可以分为三种：

1.将恶意JS代码伪装在页面中，并诱导用户主动点击该链接，于是发起请求，最终恶意代码得以执行；

2. 将恶意代码注入到数据库，用户发起相关请求的时候就会被调用执行到这段代码，造成攻击，这种注入到数据库的方式也是一种web攻击方式，后面会提到；

3. DOM型，可以视为上述两种方式的结合，即将恶意JS代码注入到DOM中，当执行到这部分的时候发起攻击。

其实XSS攻击不仅是针对前端领域，一样可以攻击服务端，只是随着越来越多的业务交给了前端处理，所以针对前端的XSS攻击需要引起足够的重视。

用过还不错的Web应用防火墙GOODWAF在XSS防护方面做的还是很好的，能精准的防护XSS攻击 

                                                GOODWAF 在对网站进行XSS防护前后的对比图，能更清晰的看出不同之处，

                                                                                                   保护前XSS可进行

                                                                                                  保护后，XSS攻击会被识别并阻止

                                                                                                  保护前，XSS 跨站攻击可进行：

                                                                                               保护后，XSS 跨站攻击失败：