XSS攻击与防御

一、XSS攻击原理：

XSS攻击是利用网站的漏洞，例如用户输入之类的post数据到服务器，服务器正常保存，输出到客户端，利用用户端和服务端代码漏洞，没有检测机制，输入恶意代码给服务器，服务器返回之后，客户端执行了这个恶意代码。

简单的来说就是：想尽一切办法，让客户端执行我的js代码

举例：
<form action="" method="get">
<input type="text" name="xss_input">
<input type="submit">
</form>
<?php
$xss = $_GET['xss_input'];
echo '你输入的字符为<br>'.$xss;
?>

正常的流程是：用户输入，然后php获取输入之后，显示给客户端。但是如果客户输入的是<script>alert('da')</script>，那就是相当于返回来的是<script>alert('da')</script>，然后就会被浏览器解析的时候直接执行