警惕！XSS攻击如同病毒入侵，企业数据瞬间溃散！

什么是XSS攻击

跨站脚本攻击（Cross-Site Scripting，XSS）是一种常见的网络安全漏洞，攻击者通过在网页中注入恶意脚本代码，利用用户对网站的信任，使得这些恶意脚本在用户的浏览器上执行。这种攻击通常利用网页未经过滤的用户输入，比如表单、URL参数或Cookie等，来注入恶意代码，从而盗取用户信息、窃取cookie、篡改网页内容或进行其他恶意操作。XSS攻击可以分为存储型XSS、反射型XSS和DOM-based XSS等不同类型，对企业和个人用户的信息安全造成严重威胁。为防范XSS攻击，开发者应该对用户输入进行严格过滤和转义，以确保网站的安全性。

惊人！高级开发者竟然对XSS一窍不通！

举例，很多前端开发者十分执着于前后端分离，前端是否管理token的问题。 他们会说JWT的出现主要是为了解决传统的会话管理方式（如基于Cookie的会话管理）在面对分布式系统和跨域请求时的一些限制和问题。

以下是我在高级前端群里面的一次讨论：

某前端（吐槽）：你们见过微服务模块前后端分离项目用nginx代理，接口请求仍然用cookie鉴权的吗？

我：                     这不正常吗？你又不是开发app

某前端：              前后端分离不都是取请求主动带上的token么？分离了还取cookie？

某前端：              难道你见过有正常的前后端分离项目叫你用cookie传递凭证的？

我：                     你看看某东某宝。他们都是用cookie存token的

某前端：              出于什么目的？

我：                     你们用浏览器插件吗？

我：                    浏览器插件可以读写localStorage，也能发送http请求（到他的站点）。

我：                    有没有一种可能，你的登录凭证可能会被盗取[/doge]（注：取得登录凭证，只要懂打开开发者模式，就相当于登录了某个人的账号，可以窃取、甚至破坏数据）。

我：                    当然可能还有各种各样的XSS攻击去尝试获取用户信息。

我：                    而cookie的http only模式，前端js是获取不了该数据的，token就保存在那里。不信你试试。

（注意：这里不是说所有浏览器插件都会这么做，来源正常的插件通常会经过官方审核。不过还是尽量少用插件吧，谁知道呢）

考虑一下你的财务数据、销售数据、供应链数据被竞争对手获取，你的竞争对手给你的下属发送危害公司利益但下属无感的指示！

是不是发现了问题？众多前端推崇的JWT竟然是安全杀手！ 也就是说，他们根本没有意识到安全问题。 何况是普通人！ 因此，无代码、低代码平台的安全性至关重要。 码小螈开发平台由安全经验丰富的开发人员开发，以保障企业的数据财产安全。

XSS的防范措施

我们平台对XSS攻击做了以下开发无感的措施：

1. 登录token使用cookie的http only模式（我们自带登录系统，无需开发）
2. 富文本禁止script标签、图片注入等常见攻击（我们提供的默认富文本编辑器和后端会主动做处理）
3. 默认采用内容安全策略（Content Security Policy，CSP）来限制页面加载的资源

如果你要自主开发，我们还提供咨询服务，让您的数据安全无虞。