xss

一 .XSS介绍

恶意攻击者利用web页面的漏洞，插入一些恶意的代码，当用户访问页面的时候，代码就会执行，这个时候就达到了攻击的目的。

（JavaScript, Java ,VBScript, ActiveX, Flash）这些网页都可能存在该种漏洞

分类

1.反射型

2.存储型

3.DOM型（基于html的DOM结构，其实也可以归纳为反射型）

二.XSS漏洞修复方法

1.HTML实体编码
2.使用白名单过滤掉用户输入的恶意字符
3.根据业务场景对症下药

三.小工具

工具1：Beef
http://beefproject.com
一个挖漏洞项目，可以将它的hook.js通过XSS的方法被存储到某个网站，然后那个网站只要访问这个页面信息，
那么整个网站就被监控了

工具2：XSS’OR
http://xssor.io
是一个在线XSS代码的转换工具，也可以发送伪造请求