（文章來源：百家號）
? ? ? ?很多公司的網(wǎng)站維護者都會問，到底什么XSS跨站漏洞？簡單來說XSS，也叫跨站漏洞，攻擊者對網(wǎng)站代碼進行攻擊檢測，對前端輸入的地方注入了XSS攻擊代碼，并寫入到網(wǎng)站中，使用戶訪問該網(wǎng)站的時候，自動加載惡意的JS代碼并執(zhí)行，通過XSS跨站漏洞可以獲取網(wǎng)站用戶的cookies以及seeion值，來竊取用戶的賬號密碼等等的攻擊行為，很多客戶收到了網(wǎng)警發(fā)出的信息安全等級保護的網(wǎng)站漏洞整改書，說網(wǎng)站存在XSS跨站漏洞，客戶找到我們SINE安全公司尋求對該漏洞的修復以及解決。針對這種情況，我們來深入了解下XSS，以及該如何修復這種漏洞。

XSS攻擊又分好幾個種類，分存儲型XSS，反射型XSS，DOM型XSS，為了快速的讓大家理解這些專業(yè)術(shù)語，我這面通俗易懂的跟大家介紹一下，存儲型XSS就是將惡意代碼存儲到網(wǎng)站中，比如網(wǎng)站的留言板，新聞，投稿等功能里注入了惡意JS代碼，當有客戶訪問網(wǎng)站的時候就會觸發(fā)JS惡意代碼，這種類型是目前比較常見的，也是攻擊者最喜歡用的。

反射型的XSS跨站，不是長期可以加載惡意代碼的，并不留存于網(wǎng)站代碼中，這種攻擊是需要誘導客戶去點擊特定的URL地址才能觸發(fā)。DOM型XSS，是反射型XSS的另一種表現(xiàn)形式，是根據(jù)DOM文檔對象調(diào)用JS腳本來實現(xiàn)攻擊的，大部分的的DOM都是篡改dom屬性來執(zhí)行攻擊命令。

攻擊者利用XSS漏洞，可以獲取網(wǎng)站的后臺管理員的cookies，利用cookies偽造對后臺進行登錄，獲取管理員的權(quán)限，查看更多的用戶隱私，以及對網(wǎng)站進行提權(quán)，上傳webshell等操作，對網(wǎng)站危害較大，各位網(wǎng)站的負責人應該重視這個問題的嚴重性，別等出問題了，受到信息安全等級保護的處罰就得不償失了。

XSS跨站漏洞的產(chǎn)生的根源是對前端輸入的值以及輸出的值進行全面的安全過濾，對一些非法的參數(shù)，像、,",'等進行自動轉(zhuǎn)義，或者是強制的攔截并提示，過濾雙引號，分好，單引號，對字符進行HTML實體編碼操作，如果您對網(wǎng)站代碼不是太懂，可以找專業(yè)的網(wǎng)站安全公司來修復XSS跨站漏洞，國內(nèi)也就SINESAFE,深信服，綠盟，啟明星辰比較專業(yè)，關(guān)于漏洞的修復辦法，遵循的就是get,post,提交參數(shù)的嚴格過濾，對一些含有攻擊特征的代碼進行攔截。