[XSS 1] 從攻擊自己網站學 XSS (Cross-Site Scripting)

防止 XSS 的心態: Don’t trust user input/request 任何輸入都有可能是危險的! 輸入框包含網址列、input、任何可以讓使用者更動網頁內容的地方

Understanding Frontend Security 系列文

1. 簡單弄懂同源政策 (Same Origin Policy) 與跨網域 (CORS)
2. [XSS 1] 從攻擊自己網站學 XSS (Cross-Site Scripting)
3. [XSS 2] 如何防禦 XSS 攻擊
4. Content Security Policy (CSP) — 幫你網站列白名單吧
5. [CSRF] One click attack: 利用網站對使用者瀏覽器信任達成攻擊

XSS (Cross-Site Scripting) 列入 OWASP 網頁安全漏洞前十大排名，而且是個跟前端有絕對有關係的安全問題，這篇就要來寫就算網站有同源政策的保護 [延伸閱讀: 簡單弄懂同源政策與跨網域]，但還是會被 XSS 攻擊的故事。

什麼是 XSS 呢？之前在 幼幼班也能懂的 OWASP TOP 10 有圖文解釋過，這邊就不再重覆說，簡單來說就是利用使用者對網站的信任達成攻擊

當網站沒有做好的驗證，就可以讓駭客輕易輸入惡意程式碼在網站上，就像埋下一個地雷，讓點擊到該網站的其他使用者受到攻擊

🔖 文章索引
1. XSS Attacks from HTML Element
2. XSS Attacks from HTML Attribute
3. XSS Attacks from URLs
4. Level Up 你的攻擊技能
5. 附註: alert 有很可怕嗎? 常見的 XSS 攻擊手法有哪些?

我也很推薦以下影片，用很簡單例子解釋 XSS

攻擊一個網站需要高超的技術在身上嗎？其實比想像中容易很多，身為一個網站工程師，若相關資安知識不夠也很容易寫出一個漏洞百出的網站。這一篇會有大量範例從攻擊中學 XSS，也期待有這些知識後的前端工程師能寫出更安全的網站。