XSS即Cross Site Scripting，中文名称为跨站脚本攻击，那么你知道防范XSS漏洞攻击的原则包括哪些吗?

XSS详细介绍:

XSS攻击主要是由程序漏洞造成的，要完全防止XSS安全漏洞主要是依靠程序员较高的编程能力和安全意识，当然安全的软件开发流程及其他一些编程安全原则也可以大大减少XSS安全漏洞的发生。防范XSS漏洞的原则包括这些：

1、不信任用户提交的任何内容，对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、REFER、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。尽量采用POST而非GET提交表单，对<、>、;、，””等字符做过滤;任何内容输出到页面之前都必须加以en-code，避免不小心把htmltag显示出来。

2、实现session标记、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行，对于用户提交信息中的img等link，检查是否有重定向回本站、不是真的图片等可疑操作。

3、cookie防盗，避免直接在cookie中泄露用户隐私，比如email、密码等等;通过使cookie和系统ip绑定来降低cookie泄露后的风险，这样攻击者可以得到的cookie没有实际价值，很难拿来直接进行重放攻击。

4、确认接收的内容被妥善地规范化，仅包含最小的、安全的tag，去掉任何对远程内容的引用，使用HTTPonly的cookie。

防范xss攻击-下载宝塔面板

宝塔面板 - 简单好用的Linux/Windows服务器运维管理面板-宝塔nginx防火墙有效防跨站攻击；

宝塔nginx防火墙使用场景：

1.遭受CC攻击、部分流量攻击的用户
2.遭受SQL注入、XSS/XSRF之类的渗透攻击的用户
3.遭受恶意上传脚本、webshell等危险行为的用户
4.希望屏蔽境内或境外地区访问自己网站的用户
5.希望通过UA、IP黑白名单管理网站访问规则的用户
6.希望可视化管理网站防御规则的用户
7.希望实时展示防火墙拦截状态的用户
8.适合想要查看攻击来源、被攻击的URI、保护的目录，但又不会看的用户
9.适合网站不需要某些蜘蛛来访，但又不会禁止的用户
10.适合网站被扫描器恶意扫描，但又不会禁止的用户
11.适合网站发文章不想要某些敏感词出现，但又不会设置的用户
12.应用场景包含所有动态网站