存储型的XSS恶意代码是存储在数据库里面的；反射型XSS恶意代码是存储在URL中场景：反射型XSS漏洞常见于通过URL传递参数的功能，例如：网站搜索，页面跳转等

恶意代码未经过滤，与网站正常的代码混在一起，浏览器无法分辨那些脚本是可信的，导致恶意脚本被执行。而由于直接在用户的终端执行，恶意代码能够直接获取用户的信息，或者利用这些信息冒充用户向网站发起攻击者定义请求。在部分情况下，由于输入的限制，注入的恶意脚本比较短，但可以通过引入外部的脚本，并有浏览器执行，来完成比较复杂的攻击策略。

xss攻击的两大要素：攻击者提交恶意代码；浏览器执行恶意代码。常见防御手段：1.输入过滤在用户提交时，由前端过滤输入，然后提交到后端，是否可行？答案是不可行。一旦攻击者绕过前端过滤，直接构造请求，这样就可以提交恶意代码了。后端在写入数据库前进行过滤，然后把安全的内容返回给前端，是否可行？答案是不可行。因为，在写入数据库前进行输入过滤虽然可以过滤掉一部分内容，但是用户的使用场景是很复杂的，我们很难判断出内容会输出到哪里，一旦用户输入的内容经过了转码，客户端就需要进行反转码，而前端不同的位置所需要的编码也是不同的。因此输入侧过滤虽然能够在某些情况下解决XSS问题，但是会引入很大的不确定性和乱码问题，所以应当尽量避免使用这种方法。当然，对于明确的输入类型，例如数字、URL、电话号码、邮件地址等内容，进行输入过滤还是必要的。2.防止执行恶意代码存储型和反射型XSS都是在服务端取出恶意代码后，插入到响应HTML中，攻击者可以编写的数据被内嵌到代码中，被浏览器执行。预防这两种漏洞，有两种常见的做法：改成纯前端渲染，把代码和数据分隔开；对HTML做充分转义。前端渲染：目前主流框架采用的SPA的方式，我们会明确告诉浏览器：下面要设置的内容是文本（.innerText），还是属性（.setAttribute），还是样式（.style）等等。浏览器不会轻易被欺骗，执行与其外的代码。但是对于有高性能要求，或者是有seo需求的页面，仍然要面对拼接HTML的问题。转义：如果拼接HTML是必要的，就需要采用合适的转义库对HTML模版的各处插入点进行充分的转义。常见的模版引擎有ejs等，对于HTML转义通常只有一个规则，就是把&<>"'/这几个字符转义掉。确实可以起到一定的防护作用，但还不够完善。3.拒绝危险输入（针对DOM型XSS攻击）在使用.innerHTML、.outerHTML、document.write()是要特别小心，不要把不可信的数据作为HTML插入到网页，尽量使用.textContent、.setAttribute()等。如果是使用Vue/React时，不要使用v-html/dangerouslySetInnerHTML，在前端避免innerHTML、outerHTML的XSS隐患;DOM中的内联事件监听器，如location、onclick、onerror、onload，<a>标签的href属性，JavaScript的eval()、setTimeout()、setInterval()等都能把字符串作为代码运行，如果不可信的数据拼接到字符串中传递给这些API，很容易产生安全隐患，务必谨慎使用。4.其他XSS防范措施1）.输入内容长度控制对于不受信任的输入，都应该先定一个合理的长度。虽然无法完全防止XSS的发生，但是可以增加XSS攻击的难度。2）.HttpOnly对敏感的cookie设置HttpOnly，禁止JavaScript访问这些信息，攻击者在完成XSS攻击后也无法窃取敏感信息。3）.内容安全策略（ContentSecurityPolicy，CSP）CSP在XSS的防范中可以起到以下的作用：禁止加载外域代码，防止复杂的攻击逻辑；禁止外域提交，网站被攻击后，用户的数据不会泄漏到外域；禁止内联脚本执行；禁止未授权的脚本执行；合理使用上报可以及时发现XSS，利于尽快修复问题。可以使用以下两种方式开启内容安全策略：HTTPHeader中的Content-Security-Policy<metahttp-equiv="Content-Security-Policy"

第一种：对普通的用户输入，页面原样内容输出。打开http://go.ent.163.com/goproducttest/test.jsp(限公司IP)，输入：<script>alert(‘xss’)</script>，JS脚本顺利执行。当攻击者找到这种方法后，就可以传播这种链接格式的链接（http://go.ent.163.com/goproducttest/test.jsp?key=JSCODE）如：http://go.ent.163.com/goproducttest/test.jsp?key=<script>alert(‘xss’)&lt;/script>，并对JSCODE做适当伪装，如：http://go.ent.163.com/goproducttest/test.jsp?key=%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,当其它用户当点此链接的时候，JS就运行了，造成的后果会很严重，如跳去一个有木马的页面、取得登陆用户的COOKIE等。第二种：在代码区里有用户输入的内容。原则就是，代码区中，绝对不应含有用户输入的东西。第三种：允许用户输入HTML标签的页面。用户可以提交一些自定义的HTML代码，这种情况是最危险的。因为，IE浏览器默认采用的是UNICODE编码，HTML编码可以用&#ASCII方式来写，又可以使用”/”连接16进制字符串来写，使得过滤变得异常复杂，如下面的四个例子，都可以在IE中运行1，直接使用JS脚本。<imgsrc=”javascript:alert(‘xss’)”/>2，对JS脚本进行转码。<imgsrc=”javascript:alert(‘xss’)”/>3，利用标签的触发条件插入代码并进行转码。<imgοnerrοr=”alert(‘xss’)”/>4，使用16进制来写(可以在傲游中运行)<imgSTYLE=”background-image:/75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″>以上写法等于<imgSTYLE=”background-image:url(javascript:alert(‘XSS’))”> 

1.反射性XSS反射型xss的意思是说，攻击者将构造好的payload注入，提交信息给服务器之后再次返回给浏览器端时，并被浏览器误解析执行，以更改当前网页上的某些信息（如链接），或者使浏览器执行某些脚本。所以黑客往往需要诱使用户“点击”恶意链接才能攻击成功。因此反射型xss也被称之为非持久性xss。2.存储型XSS存储型xss是指像留言板、用户名称等一些会存储在服务器端的信息，当攻击者在存在xss漏洞的留言板处进行注入之后，任何浏览器端加载该信息的时候都会将其中的恶意代码解析，进而触发xss攻击。该方法甚至可以在管理员审核留言时触发，进而造成管理员敏感信息的泄露。因为其存储在服务器端，因此造成的危险程度、攻击范围比反射型更大更广。3.DOM型XSSDOM型xss是基于html的dom文档来说的，攻击者通过注入JavaScript的脚本，利用相应的函数修改网页的DOM结构，进而修改网页的某些信息，本质上也是一种反射性xss，后来便单独分成了一类。

XSS注入漏洞又称为"跨站脚本攻击(CrossSiteScripting)"，为了不和层叠样式表(CascadingStyleSheets,CSS)混淆，所以将跨站脚本攻击缩写为XSS。XSS本质上是黑客通过对网页的HTML注入，篡改了原本服务器发给客户端的数据包，在其中插入了恶意的Script代码插入到网页中，当正常用户浏览该页面时，被嵌入的恶意Script代码就会被执行，从而达到恶意攻击正常用户的目的。

防止SQL注入，需要注意以下几个要点：1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双"-"进行转换等。2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFTSCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

解决方案：1.检查服务器是否判断了上传文件类型及后缀2.定义上传文件类型白名单3.文件上传目录禁止执行脚本解析

CSRF是跨站请求伪造攻击，由客户端发起 SSRF是服务器端请求伪造，由服务器发起 重放攻击是将截获的数据包进行重放，达到身份认证等目的

正确答案是D1.XSS全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有JavaScript的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。2.CSRF的全称是“跨站请求伪造”，是伪造请求，冒充用户在站内的正常操作。3.过滤用户输入，不允许发布这种含有站内操作URL的链接。对xss会有用，但阻挡不了CSRF，因为攻击者可以通过QQ或其他网站把这个链接发布上去，为了伪装可能还使用bit.ly压缩一下网址，这样点击到这个链接的用户还是无法阻挡csrf。