漏洞名称： XSS跨站脚本攻击

[qinxiaocha]

漏洞危害： | 攻击者利用应用程序的动态展示数据功能，在html页面里嵌入恶意代码。当用户浏览该页之时，这些嵌入在html中的恶意代码会被执行，用户浏览器被攻击者控制，从而达到攻击者的特殊目的。恶意攻击者可以利用跨站脚本攻击做到：1、盗取用户cookie，伪造用户身份登录。2、控制用户浏览器。3、结合浏览器及其插件漏洞，下载病毒木马到浏览者的计算机上执行。4、衍生URL跳转漏洞。5、让官方网站出现钓鱼页面。6、蠕虫攻击

修复建议:	XSS是非常普遍的安全漏洞。主要是由于对用户提交的数据未做严格处理导致。解决方法一般有两种：1）建立完善的过滤体系 2）对敏感字符encode处理。HTML/XML页面遵循输出规范：1、在HTML/XML中显示“用户可控数据”前，应该进行html escape转义。2、在javascript内容中输出的“用户可控数据”，需要做javascript escape转义。3、对输出到富文本中的“用户可控数据”，做富文本安全过滤（允许用户输出HTML的情况）。4、输出在url中的数据，做url安全输出。