在跨站点脚本的情况下该怎么办？

从用户的角度来看，检测跨站脚本攻击是极其困难的。XSS 操作通常 处于低位，受害者很少意识到他们已经被击中，直到他们的帐户已经被接管。更糟糕的是，访问一个看似仁慈的网站的简单行为可能会触发持续的 XSS 攻击。 尽管如此，您仍可以通过保持浏览器处于最新状态并仅使用信誉良好的安全产品来设置安全环境。

当涉及到由恶意制作的 URL 触发的 XSS 攻击时，通常的安全最佳实践适用——对您单击的链接要格外小心，并对所有内容持怀疑态度。作为网站所有者，您有责任确保恶意链接和易受攻击的 Web 应用程序尽可能少。以下是一些需要考虑的最重要的事情：

1.编写安全代码

这一切都始于应用程序的初始设计。您可以找到在线指南，这些指南将帮助您构建一个更安全地处理用户输入的应用程序，并使您能够从一开始就开发出更好的跨站点脚本保护。

2.定期进行安全审计

即使您遵循所有编码最佳实践，即使是核心开发或更新过程中的最小错误也可能无意中引入 XSS 漏洞。通过定期扫描应用程序的安全漏洞，您可以快速识别错误并在它成为真正问题之前进行修复。

3.安装所有可用的更新

大多数活跃网站都基于WordPress等开源内容管理系统。使用它们可以让您更好地保护您的网站免受 XSS 攻击，因为整个在线社区都会为您识别和修补安全漏洞。当然，确保所有更新和安全补丁尽快安装仍取决于您。

4.设置网络应用防火墙

正确配置的Web 应用程序防火墙 (WAF)不会消除完成上述步骤的需要。但是，这样的工具可以识别和阻止看似 跨站点脚本攻击的活动，从而为您的站点提供额外的保护层。

您的托管服务提供商的角色

没有人希望在他们的网站上看到 XSS 攻击。如果发生这种情况，后果将是用户和品牌的声誉。如果您使用的是共享主机服务，您的主机也不会很乐意在其服务器上找到受感染和被黑的网站。在大多数情况下，如果黑客设法在您的网站上执行跨站点脚本攻击，并且您的托管服务提供商发现了 – 它只会让您的网站离线并保持关闭，直到您解决问题。然而，一个好的主人会做的不止这些。

真正想帮助客户防止 XSS 攻击的托管服务提供商拥有实时检测可疑行为的监控系统 。这样，帐户所有者就会保持警惕，并且可以在攻击影响太多用户之前阻止攻击。您的房东可以提供多少帮助是有限度的。提供商不会为您开发应用程序，也不会修补您网站中的安全漏洞。但是，如果您选择了正确的托管服务提供商，您将能够依赖支持专家团队，如果您需要更多帮助，他们可以指导您朝着正确的方向前进。

结论

二十多年过去了，网络世界仍在努力消除跨站点脚本，这一事实证明了该攻击的有效性。没有任何迹象表明一种万能的解决方案即将出现，因此作为网站所有者，您需要意识到威胁并尽一切可能降低风险。幸运的是，有很多关于如何更安全地运行应用程序的信息。建立更好的 XSS 攻击防御比以往任何时候都更容易获得。