XSS 攻擊。根據攻擊的來源，我們可以將此類攻擊分為三種，分別為：

• 反射型
• 存儲型
• DOM 型

存儲型 XSS 攻擊。此類攻擊是攻擊者將惡意代碼提交至服務器并保存在數據庫中，用戶訪問該頁面觸發攻擊行為。這種類型的攻擊常見于保存用戶編輯數據的場景下，比如案例中的發表文章，亦或者評論場景等等。

防范存儲型 XSS 攻擊的策略就是不相信一切用戶提交的信息，比如說用戶的評論、發表的文章等等。對于這些信息一律進行字符串轉義，主要是引號、尖括號、斜杠

function escape(str) {str = str.replace(/&/g, '&amp;')str = str.replace(/</g, '&lt;')str = str.replace(/>/g, '&gt;')str = str.replace(/"/g, '&quto;')str = str.replace(/'/g, '&#39;')str = str.replace(/`/g, '&#96;')str = str.replace(/\//g, '&#x2F;')return str } // "&lt;script&gt;alert(1)&lt;&#x2F;script&gt;" escape('<script>alert(1)</script>')

但是在顯示富文本的場景下其實不能把所有的內容都轉義了，因為這樣會把需要的格式也過濾掉。對于這種情況，通常考慮采用白名單過濾的辦法。

// 使用 js-xss 開源項目 const xss = require('xss') let html = xss('<h1 id="title">XSS</h1><script>alert("xss");</script>') // -> <h1>XSS</h1>&lt;script&gt;alert("xss");&lt;/script&gt; console.log(html)

在白名單的情況下，h1 標簽不會被轉義，但是 script 能被正常轉義。

總結

以上是生活随笔為你收集整理的XSS攻击处理办法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。