1. XSS 原理和常见的几种攻击方式 XSS 攻击是指，通过执行恶意脚本，以实现窃取用户登陆态、劫持会话等目的的攻击方式。恶意脚本的输入源有，Cookies、Post 表单、Get 请求、HTTP 头内容等。通常，我们将一段 XSS 攻击的代码片段称之为 XSS 向量。 常见的 XSS

django-xss-cleaner 是一个基于 bleach 的 Django XSSFilter 工具包，实现了对 GET 和 POST 请求参数的 XSS 白名单过滤功能。包中内置了部分白名单 HTML 标签、属性设置，同时也支持自定义扩展。项目地址，https://github.com/shaowenchen/django-xss-cleaner 1.

如果使用Chrome浏览器测试XSS向量，请关闭浏览器对XSS的拦截功能。首先，关闭所有Chrome浏览器进程，然后执行： 1 chrome.exe -args --disable-xss-auditor --args --disable-web-security 进入非Web安全模式。 1. 利用<>标记注入HTML/JavaScript 1 <script>alert('XSS')</script> 1 '';!--"<XSS>=&{()} 1 2 //SRC的

XSS是一种在前端执行JavaScript脚本的攻击方式。随着UGC站点的流行，用户产生数据剧增，数据块的网络连接越来越有利于XSS的实施与传播。XSS带来的危害有：窃取用户cookies，窃取个人信息；劫持会话，操纵用户网络数据；发起dd