在跨站點腳本的情況下該怎么辦？

從用戶的角度來看，檢測跨站腳本攻擊是極其困難的。XSS 操作通常 處于低位，受害者很少意識到他們已經被擊中，直到他們的帳戶已經被接管。更糟糕的是，訪問一個看似仁慈的網站的簡單行為可能會觸發持續的 XSS 攻擊。 盡管如此，您仍可以通過保持瀏覽器處于最新狀態并僅使用信譽良好的安全產品來設置安全環境。

當涉及到由惡意制作的 URL 觸發的 XSS 攻擊時，通常的安全最佳實踐適用——對您單擊的鏈接要格外小心，并對所有內容持懷疑態度。作為網站所有者，您有責任確保惡意鏈接和易受攻擊的 Web 應用程序盡可能少。以下是一些需要考慮的最重要的事情：

1.編寫安全代碼

這一切都始于應用程序的初始設計。您可以找到在線指南，這些指南將幫助您構建一個更安全地處理用戶輸入的應用程序，并使您能夠從一開始就開發出更好的跨站點腳本保護。

2.定期進行安全審計

即使您遵循所有編碼最佳實踐，即使是核心開發或更新過程中的最小錯誤也可能無意中引入 XSS 漏洞。通過定期掃描應用程序的安全漏洞，您可以快速識別錯誤并在它成為真正問題之前進行修復。

3.安裝所有可用的更新

大多數活躍網站都基于WordPress等開源內容管理系統。使用它們可以讓您更好地保護您的網站免受 XSS 攻擊，因為整個在線社區都會為您識別和修補安全漏洞。當然，確保所有更新和安全補丁盡快安裝仍取決于您。

4.設置網絡應用防火墻

正確配置的Web 應用程序防火墻 (WAF)不會消除完成上述步驟的需要。但是，這樣的工具可以識別和阻止看似 跨站點腳本攻擊的活動，從而為您的站點提供額外的保護層。

您的托管服務提供商的角色

沒有人希望在他們的網站上看到 XSS 攻擊。如果發生這種情況，后果將是用戶和品牌的聲譽。如果您使用的是共享主機服務，您的主機也不會很樂意在其服務器上找到受感染和被黑的網站。在大多數情況下，如果黑客設法在您的網站上執行跨站點腳本攻擊，并且您的托管服務提供商發現了 – 它只會讓您的網站離線并保持關閉，直到您解決問題。然而，一個好的主人會做的不止這些。

真正想幫助客戶防止 XSS 攻擊的托管服務提供商擁有實時檢測可疑行為的監控系統 。這樣，帳戶所有者就會保持警惕，并且可以在攻擊影響太多用戶之前阻止攻擊。您的房東可以提供多少幫助是有限度的。提供商不會為您開發應用程序，也不會修補您網站中的安全漏洞。但是，如果您選擇了正確的托管服務提供商，您將能夠依賴支持專家團隊，如果您需要更多幫助，他們可以指導您朝著正確的方向前進。

結論

二十多年過去了，網絡世界仍在努力消除跨站點腳本，這一事實證明了該攻擊的有效性。沒有任何跡象表明一種萬能的解決方案即將出現，因此作為網站所有者，您需要意識到威脅并盡一切可能降低風險。幸運的是，有很多關于如何更安全地運行應用程序的信息。建立更好的 XSS 攻擊防御比以往任何時候都更容易獲得。