預防XSS，這幾招管用

最近重溫了一下「黑客帝國」系列電影，一攻一防實屬精彩，生活中我們可能很少有機會觸及那麼深入的網路安全問題，但工作中請別忽略你身邊的精彩

大家應該都聽過 XSS (Cross-site scripting) 攻擊問題，或多或少會有一些瞭解，但貌似很少有人將這個問題放在心上。一部分人是存有僥倖心理：“誰會無聊攻擊我們的網站呢？”；另一部分人可能是工作職責所在，很少觸碰這個話題。希望大家看過這篇文章之後能將問題重視起來，並有自己的解決方案, 目前XSS攻擊問題依舊很嚴峻：

Cross-site scripting（XSS）是Web應用程式中常見的一種電腦保安漏洞，XSS 使攻擊者能夠將客戶端指令碼注入其他使用者檢視的網頁中。 攻擊者可能會使用跨站點指令碼漏洞繞過訪問控制，例如同源策略。 截至2007年，Symantec（賽門鐵克） 在網站上執行的跨站指令碼佔據了所有安全漏洞的 84％ 左右。2017年，XSS 仍被視為主要威脅載體，XSS 影響的範圍從輕微的麻煩到重大的安全風險，影響範圍的大小，取決於易受攻擊的站點處理資料的敏感性方式以及站點所有者實施對資料處理的安全策略。

XSS 型別的劃分以及其他概念性的東西在此就不做過多說明，Wikipedia Cross-site scripting 說明的非常清晰，本文主要通過舉例讓讀者看到 XSS 攻擊的嚴重性，同時提供相應的解決方案

XSS 案例

不喜歡看 XSS 案例的，請跳過此處，直接去看 解決方案 。Bob 和 Alice 兩個人是經常用作案例（三次握手，SSH認證等）說明的，沒錯下面的這些案例也會讓他們再上頭條