XSS漏洞原理整理

一、通常使用XSS脚本来获取浏览器版本信息，alert(navigator.userAgnet )  ，浏览器的UserAgent是可以伪造的，比方火狐或者很多扩展都可以屏蔽或者自定义浏览器发送的UserAgent ,所以通过javaScript获取的浏览器对象有时候不一定时真的。但是浏览器之间的实现存在很大的差异，不同的浏览器之间会实现不同的功能，不同版本之间也会有差异，可以根据这个差别来区分浏览器的信息，比单方面读取 userAgent信息更加的准确。

if (window.ActiveXObject){
//判断是否是IE 7以上的版本
if (document.documentElement && typeof documet.document.documentElement.style.maxHeight!="undefinde"{
//判断是否是IE 8+
if(type document.adoptNode!="underfined"){//Safari3 &Opera & Chrome & Ie8}
}
}return "msie";
else if(type windows.opera!="underfined"){
//Opera
return "OPera";
}
else if (type window.netsapce!=")
................后面的部分这里不写了  

什么是HttpOnly ，HttpOnly最初是由微软提出的，并开始在IE6中使用，现在已经在各大浏览器中成为一个标准，  浏览器将禁止页面的JavaScript 访问带有HttpOnly属性的Cookie值。一个cookie的使用过程大致如下：

第一步： 浏览器向服务器发起请求，这个时候没有产生Cookie值

第二步：服务器返回时发送Set-Cookie ,并向客户端浏览器写入Cookie

第三步：周该Cookie到期之前，浏览器访问该域下的所有页面，都将发送该Cookie。*

而HttpOnly设置在 Set-cookie标记。 我们可以同时设置多个Cookie值，对不同的Cookie。

Set-cookie:<name>=<value>[;<Max-Age>=<age>]
[;expirse=<data>][;domain=<domain_name>]
[;path=<some_path>][;secure][;HttpOnly]

是不是加了 HttpOnly就读不出Cookie了不是这样的，我们还是可以通过其他的方法来，只要能力强，什么都可绕。安全是一个不断进阶的过程。添加了 HttpOnly不意味着完全可以避免XSS

二、 在防范XSS或者常见的SQl Injection漏洞的时候使用输入检查或者输出检查。

输入检查的逻辑必须放在服务器端中实现，如果单单在客户端使用JS进行输入检查很容易被绕过，在开发过程中同时在客户端和服务端使用输入检查，客户端进行输入检查可以阻挡大部分的误操作，减少服务器的压力。

XSS的本质是I一种“HTML注入” 用户的数据被当成了HTML代码一部分来执行，从而混淆了原本的语义，产生了一种新的语义。

三、跨站请求伪造 （CSRF）  Cross Site Request Forgery

浏览器的Cookie分成两种类型。

第一种 ： Session Cookie 称为临时的Cookie  ，保存在浏览器进程的内存空间。

第二种：  third-Part-cookie 又称为本地Cookie  ，保存在本地。

这两种Cookie的区别是 Session Cookie么有指定Expire时间，浏览器关闭之后Session Cookie会自动失效。  Third-Part-Cookie是服务器在Set-Cookie的时候指定了Expire时间，只有当Expire时间过期后Cookie才会失效。