XSS跨站脚本攻击

• XSS攻击全称跨站脚本攻击，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中，获取网站隐秘信息，列如cookie信息等。
• 能被XSS攻击需要以下两点：
  一、需要向web页面注入恶意代码；
  二、这些恶意代码能够被浏览器成功的执行。

解决XSS攻击恶意代码的方法

• XSS攻击一般在留言框、评论框、微博里常见，可通过替换过滤恶意代码中的标签字符或者链接跳转hre的方法来避免XSS。

var str= `<script>console.log(document.cookie)<\/script>`;  //恶意代码的输入str=str.replace(/<\/?(script)>/gi,"($1)");                  //1.将标签字符串的替换过滤str=str.replace(/href=('|")javascript:.*?\>/gi,"");		   //2.网站href的替换过滤console.log(str);