在公司做过网站维护的朋友们肯定都遇到过被攻击的事，其中出现概率比较大多第漏洞应该就有xss跨站脚本漏洞？那什么是xss呢，简单说就是攻击者对网站代码进行攻击检测，将XSS攻击代码注入前端输入的地方，写入网站，使用户访问网站时自动加载恶意JS代码并执行。通过XSS跨站点漏洞，他们可以获取网站用户的cookies和seeion来窃取用户帐户密码等攻击。很多客户收到了网络警察发来的信息安全等级保护网站漏洞整改函，称该网站存在XSS跨站漏洞。鉴于这种情况，让我们深入了解XSS以及如何修复此漏洞。

XSS攻击可以分为几种类型，即存储XSS、反射XSS和DOM  XSS。为了快速让大家理解这些专业术语，我可以很轻松的给大家介绍一下。存储型XSS将恶意代码存储到网站中，比如将恶意JS代码注入到网站的留言板、新闻、提交功能中，当客户访问网站时会触发JS恶意代码。这种类型目前也是攻击比较常见的。

DOM型XSS，是反射XSS的另一种表现形式，根据Dom文档对象调用JS脚本实现攻击，大多数DOM篡改DOM属性执行攻击命令。具体的发作症状如下：

攻击者可以利用XSS漏洞从网站后台管理员处获取cookie，利用cookie伪造登录后台，获取管理员权限，查看更多用户隐私，对网站进行解除权限、上传webshell等操作，对网站的危害极大。网站负责人要注意这个问题的严重性。如果出了问题，信息安全等级保护的惩罚将得不偿失。

XSS攻击漏洞解决修复方案

记住两个原则：过滤输入和转义输出。

具体实现方法如下：

首先，在输入方面，所有用户提交可靠的输入验证，包括URL、查询关键字、http头、帖子数据等等

其次，在输出方面，用户的输入内容中使用了标签。标签中的内容不会被解释，而是直接显示。

第三，严格控制输入的字符数。

四、在脚本执行区，应该没有用户输入。

xss漏洞修复具体操作如下：可以利用下面这些函数对出现xss漏洞的参数进行过滤

PHP的htmlentities()或是htmlspecialchars()。

Python的cgi.escape()。

ASP的Server.HTMLEncode()。

ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library

Java的xssprotect(Open Source Library)。

Node.js的node-validator。

除了以上从代码层面处理，还可以使用具有安全防护功能第cdn服务，资金允许也可以使用收费第waf或网络安全防护设备。