引言：现在几乎所有的单位都拥有自己的网站，这对于提高企业形象，发布相关服务，提高企业知名度等方面都是很有利的。但是，众多的网站也成了黑客觊觎的目标。因此，防范黑客入侵，保护网站安全，是网络管理员义不容辞的责任。

现在几乎所有的单位都拥有自己的网站，这对于发布相关服务，提高企业知名度等方面都是很有利的。但是众多的网站也成了黑客觊觎的目标，黑客通过各种方法侵入网站，进行盗窃数据，篡改页面，安装放置病毒木马，甚至进一步提权控制整台网站服务器等危险行为对企业网络的安全造成了不可忽视的威胁。因此，防范黑客入侵，保护网站安全，是网络管理员义不容辞的责任。只有了解黑客的常用的入侵方法，才可以有的放矢的进行防御。

防范跨站脚本攻击

跨站脚本攻击（Crose Site Scripting）是黑客常用的入侵手段，一些网站存在对用户输入过滤不足的问题，导致被恶意利用，通过在页面上输入可以对其他用户造成威胁的HTML代码来盗取用户的资料数据，并利用正常用户的身份来执行一些破坏性动作，例如导致访问者遭到病毒侵袭等。跨站脚本的危害很大，却不容易引起用户广泛关注。

XSS跨站脚本攻击分为存储型和反射型两大类，前者指Web应用程序（例如留言板等）会将黑客输入的带有攻击内容的信息保存在服务器端的数据库或者指定的文件中，当访问者查看这些数据时，Web应用程序会将输入的恶意信息提取出来，导致访问者的浏览器执行这些恶意代码，进而受到攻击。

后者指的是Web应用程序未经安全过滤，就将黑客输入的恶意数据（一般为危险的链接）在页面上输出，当访问者浏览这些网页时，如果误点了这些恶意链接，就很容易中招，落入陷阱之中。当然，黑客为欺骗用户，会将跨站代码进行加密变形处理。

对XSS跨站脚本攻击进行防范其实也不复杂，因为XSS攻击主要利用了Web应用程序对用户输入没有进行严格过滤的漏洞，造成恶意代码可以在客户端的浏览器上运行，因此需要从服务器端和客户端进行防御。例如，对于服务器端来说，Web应用程序应该对用户的输入信息进行严格检测。包括输入的内容是否包含非法字符，尤其是对带有JavaScript和AspScript标签的数据要严格检测，对于内容过长的输入内容要严格过滤等。例如不允许包含“