经历一次真实的XSS跨站攻击以及应付之策

这是一个线上真实的事情，黑客已经攻破网站，并主动给我们上报了问题的根源以及解决方案还是不错的。

1.前端网站某处存在用户评论输入，黑客再此输出跨站脚本，下面的是从数据库查出来的



2.后台管理人员如果浏览到这条数据就会触发这个js，这个js会跳转到真实的地址然后执行js这里只选择一部分



从中可以看出其实黑客就是让管理人员执行这段js然后发送其cookie到执行的服务器再存储起来，然后黑客就可以冒充管理人员

3.所以知道了这个流程防御其实不难，字符串转义等等。