虽然大多数人都了解XSS的成因，可是要完全避免XSS进犯并不简单。由于XSS的表现形式各异，运用办法灵敏多变，所以不能以单一特征来归纳一切XSS进犯，这就给XSS缝隙防护带来了极大的困难。

形成这种现象的原因首要有方面。

首要，Web浏览器自身的规划是不安全的。浏览器只是用于经过URL来获取并显现Web网页的一种软件东西，网络传输过来的数据有的是浏览器用户需求的、可以看到的，也有的是浏览器不能显现的。这些不能显现的内容可能是对用户是通明的协议作业内容，也可能是恶作剧代码，抑或是故意损坏的代码，他们会盗取用户核算机上的隐私，乃至会对核算机设备形成损坏。不可否认，Web浏览器包括了解说和履行JavaScript等脚本言语的才能，这些言语可能来创立各种丰厚的功用，浏览器只会去履行，而不会判别数据或代码片段是否歹意。

其次，大部分Web开发人员都未受过正规的安全培训，因而没有创立好安全的网站，导致进犯者能运用网络的安全缝隙，注入歹意代码建议进犯。

首要，Web浏览器自身的规划师不安全的。浏览器只是用于经过URL来获取并显现Web网页的一种软件东西，网络传输

在OWASP TOP 10中是这样描述的：

最好的办法是依据数据即将置于HTML上下文（包括主体、特点、JavaScript、CSS或URL）对一切的不可信数据进行恰当的转义。 运用正面或“白名单”的，具有恰当的规范化和解码功用的输入验证办法同样会有助于避免跨站脚本。但由于许多使用程序在输入中需求特别字符，这一办法不是完好的防护办法。这种验证办法需求尽可能地解码任何编码输入，一起在承受输入之前需求充沛验证数据的长度、字符、格局和任何商务规矩。

0x00 运用XSS Filter

众周所知，XSS跨站进犯首要从客户端建议，虽然履行时遭到许多约束，却能形成更严峻的结果。

XSS Filter作为防护跨站进犯的首要手法之一，现已广泛使用在各类Web体系之中，包括如今的许多使用软件，例如IE 8浏览器，经过参加XSS Filter功用可以有用防备一切非持续性的XSS进犯

如图可视IE 8阻拦跨站脚本的作用。

可是，XSS本质上是Web使用程序的缝隙，只是依托XSS Filter等客户端的维护是不行的，解决问题的根本是Web使用程序的代码中消除XSS安全缝隙

0x01 输入过滤

咱们都知道，跨站脚本进犯是经过一些正常的站内交互途径，假如用户提交了含有歹意JavaScript的内容，服务器端没有及时的过滤掉这些脚本，那么就会形成跨站脚本进犯

对输入数据的过滤，详细可以从两方面来着手：输入验证和数据消毒

输入验证

输入验证要依据实际情况来规划

输入是否只是包括合法的字符 输入字符串是否超越最大长度约束 输入假如为数字，数字是否在指定的范围内 输入是否契合特别的格局要求 数据消毒

除了在客户端验证数据的合法性，输入过滤中最重要的仍是过滤和净化有害的输入，例如以下常见字符

|  <  >  ‘  “ &  #  javascript expression

可是，仅过滤以上灵敏字符是远远不行的。

为了可以供给两层防护和保证Web使用程序的安全，对Web使用的输入也要进行过滤

和编码。

0x02 输出编码

假如没有对用户输入的数据进行过滤而是将用户输入的信息完完好整的出现出来，就会发生一个XSS

[1] [2] [3]  黑客接单网