一、浏览器安全

创新互联公司成立于2013年，我们提供高端重庆网站建设、网站制作、网站设计、网站定制、成都全网营销推广、小程序开发、微信公众号开发、seo优化排名服务，提供专业营销思路、内容策划、视觉设计、程序开发来完成项目落地，为火锅店设计企业提供源源不断的流量和订单咨询。

1、同源策略（SOP）

     在浏览器中，;

    再查看源码：

2.1.2、存储型XSS

   ***会把用户的数据存储在服务器端。

   比较常见的场景是：***写了一篇包含有恶意JavaScript代码的博客文章，只要用户访问改文章，就会在他们的浏览器中执行这段恶意代码，***会把恶意代码保存到服务器端。所以这种方式也叫持久型XSS（Persistent XSS）。

2.1.3、DOM Based XSS

   通过修改页面的DOM节点形成XSS，称之为DOM Based XSS

   代码如例：

     正常构造数据，www.a.com。

     点击write按钮：页面显示www.a.com链接

     非正常构造如下数据: 

     点击write按钮，页面显示testlink，点击testlink，弹出/xss/警告框

     这里首先一个单引号闭合掉href第一个单引号，然后插入一个onclick事件，最后再用注释符注释掉第一个单引号。

     这段代码也可以通过闭合掉的方式***：

'><'

     此时页面代码变成了：

2.2 XSS防御

2.2.1 HttpOnly

     设置cookie httponly标记，可以禁止JavaScript访问带有该属性的cookie，目前主流的浏览器已经支持HttpOnly

2.2.2输入检查

2.2.3输出检查

     安全的编码函数：在数据添加到DOM时候，我们可以需要对内容进行HtmlEncode或JavaScriptEncode，以预防XSS***。 JavaScriptEncode使用“\”对特殊字符进行转义，除数字字母之外，小于127的字符编码使用16进制“\xHH”的方式进行编码，大于用unicode（非常严格模式）。除了HTMLEncode、JavaScriptEncode外还有XMLEncode、JSONEncode等编码函数，在php中有htmlentities()和htmlspcialchars()两个函数可以满足要求。

      XSS***主要发生在MVC架构的view层，大部分的XSS漏洞可以在模板系统中解决。

     在python的开发框架Django自带的模板系统中，可以使用escape进行htmlencode，比如：

     这样写的变量，会被HtmlEncode

2.2.4正确防御XSS

场景一：在HTML标签中输出

     所有在标签中输出的变量，如果未做任何处理，都会导致直接产生XSS

     在这种场景下，XSS的利用方式一般构造一个