基于输入过滤技术有效防范XSS攻击?

1、 XSS攻击是指跨站脚本攻击，是指攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到攻击者的特殊目的。

2、XSS攻击一般可以分为反射型和存储型，反射型XSS攻击一般是攻击者将恶意的脚本代码作为参数传递给服务器，服务器不做任何处理而将参数原封不动的返回给客户端，当用户浏览器接收到服务器端的返回数据时，就会被浏览器执行，从而达到攻击者的目的。存储型XSS攻击一般是攻击者将恶意的脚本代码存储到服务器上，当用户访问服务器端存储的数据时，被恶意脚本代码植入的数据就会被浏览器执行，从而达到攻击者的目的。

3、输入过滤技术是一种有效防范XSS攻击的技术手段，它主要是通过过滤掉用户提交的恶意数据，使其不能被浏览器执行，从而达到防御XSS攻击的目的。

4、输入过滤技术针对XSS攻击一般有两种方式，一种是白名单技术，它主要是指对用户提交的数据进行细粒度的过滤，只允许满足特定规则的数据通过，而不符合特定规则的数据就会被拦截，从而达到防御XSS攻击的目的。 另一种是黑名单技术，它主要是指对用户提交的数据进行粗粒度的过滤，拦截用户提交的可疑数据，而不管其他正常数据，从而达到防御XSS攻击的目的。

5、输入过滤技术在防御XSS攻击中有着重要的作用，但是也存在一定的局限性，比如由于恶意脚本代码的不断变化，很难一次性的将所有的恶意脚本代码都纳入过滤规则，从而无法完全防御XSS攻击，因此，输入过滤技术在防御XSS攻击中应该结合其他技术手段一起使用，以达到更好的防御效果。