6.5. XSS 安全漏洞

5.7

9.x 8.x 7.x 6.x 5.8 5.7 5.5

L02 Laravel 教程 - Web 开发实战进阶 ( Laravel 5.7 ) /

本教程最新版为 9.x，当前版本已放弃维护，请阅读最新版本！

XSS

目前我们的项目中存在非常严重的 XSS 安全漏洞。作为一个合格的 Web 开发工程师，必须遵循一个安全原则：

永远不要信任用户提交的数据。

我们在创建话题时对用户提交的内容字段 body 太过信任，没有对其做过滤处理，即原封不动的显示在页面上，这是非常危险的。

XSS 也称跨站脚本攻击 (Cross Site Scripting)，恶意攻击者往 Web 页面里插入恶意 JavaScript 代码，当用户浏览该页之时，嵌入其中 Web 里面的 JavaScript 代码会被执行，从而达到恶意攻击用户的目的。

一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的，一旦恶意攻击者能在页面中执行 JavaScript 代码，他们即可通过 JavaScript 读取并窃取你的 Cookie，拿到你的 Cookie 以后即可伪造你的身份登录网站。（扩展阅读 —— IBM 文档库：跨站点脚本攻击深入解析）

有两种方法可以避免 XSS 攻击：