XSS

# 什么是XSS

Cross Site Script 跨站脚本攻击，攻击者利用网站对用户的信任，或者说是利用网站的漏洞，例如对用户输入信息没有转义或者过滤，进而像网站注入了一些非法的代码，从而窃取用户的资料等。

# 例子

1. 假设有如下请求https://www.abc.com?content="<script>alert('You are attacked')</script>", 网站abc不对content转义直接输出字段content, 则会自动运行攻击脚本

# 防范

1. 服务端设置cookie的时候，要配置成HttpOnly，防止cookie被窃取
2. 对用户输入内容进行转义过滤等