从互联网诞生之初起，无时无刻不存在网络攻击，其中XSS攻击和SQL注入攻击是网站应用攻击的最主要的两种手段，全球大约70%的网站应用攻击都来自XSS攻击和SQL注入攻击。此外，常用的网站应用攻击还包括CSRF、Session劫持等。

1、 XSS攻击   XSS攻击即跨站点脚本攻击（Cross Site Script），指的是攻击者通过篡改网页，注入恶意的HTML脚本，在用户浏览网页时，控制用户浏览器进行恶意操作的一种攻击方式。   常见的XSS攻击类型有两种，一种是反射型，攻击者诱使用户点击一个嵌入恶意脚本的链接，达到攻击目的。另一种XSS攻击是持久型XSS攻击，黑客提交含有恶意脚本的请求，保存在被攻击的web站点的数据库中，用户浏览网页时，恶意脚本被包含在正常的页面中，达到攻击的目的。XSS攻击经常使用在论坛，博客等应用中。攻击者可以偷取用户Cookie、密码等重要数据，进而伪造交易、盗取用户财产、窃取情报。   反射型攻击流程（如下图）：   （1） 攻击者在微博中发布含有恶意脚本的URL（weibo.com/pub/dd20src=//www.xiaohui.cn/image/type/tt.js，该脚本其实是存在攻击者的服务器中，URL包含脚本链接）。   （2） 其他用户点击该URL，则会加载恶意脚本。   （3） 接下来脚本会进行恶意操作，进而达到攻击目的。 持久型攻击流程（如下图）：   （1） 攻击者发送含有恶意脚本的请求。   （2） 恶意脚本保存在被攻击的服务器中。   （3） 用户浏览服务器页面，浏览器解析页面，恶意脚本被执行，达到攻击目的。   对应的防御策略有：   （1） 消毒   XSS攻击者一般都是在通过请求中嵌入恶意脚本达到攻击的目的，这些脚本是一般用户输入中不使用的，如果进行过滤和消毒处理，即对某些html危险字符转义，如“>”转义为“”、“