xss 攻击(持久化的 xss 和非持久化的 xss)

基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的，所以浏览器会无差别执行恶意脚本，从而导致用户信息和一些敏感信息被盗取和泄漏。

这种一般就是用户评论的时候输入的内容为<script></script>这种可执行的脚本，然后其他用户访问的时候直接作为脚本执行了。

防御

1. 在前端对于所有的用户输入都需要进行编码

2. 在前段对于所有的 html 结构插入的数据进行处理 script 的关键节点

参考

前端安全系列（一）：如何防止 XSS 攻击？