贵的网站比便宜网站好在哪：你的网站够安全吗？

网站建设是一种非标准化的信息技术服务，也比较难有一个统一的标准化的价格体系。大家在一轮比价后，发现各家的网站报价差距比较大，但是不清楚差距在何处。本文以网站前端安全为切入点，来看看贵的网站比便宜的网站好在哪。

表单是网站里面一个很常见的元素，比如客户的意见反馈、咨询留言、活动报名、注册登录等，都会使用到这个功能。就这样一个简单的功能里面，却隐藏着很多危机，比如：XSS攻击。

XSS（Cross-Site-Scripting）攻击是一种常见的网络攻击，又称跨站脚本，是由于Web应用程序对用户的输入过滤不足而产生的。

常见的 XSS 攻击有三种：反射型、DOM-based 型、存储型。 其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击，存储型归类为持久型 XSS 攻击。

1.反射型

反射型 XSS 一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。

对于访问者而言是一次性的，具体表现在我们把我们的恶意脚本通过 URL 的方式传递给了服务器，而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。反射型 XSS 的触发有后端的参与，要避免反射性 XSS，必须需要后端的协调，后端解析前端的数据时首先做相关的字串检测和转义处理。

此类 XSS 通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。

2.DOM-based 型

客户端的脚本程序可以动态地检查和修改页面内容，而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行，如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到 DOM-based XSS 攻击。需要特别注意以下的用户输入源 document.URL 、 location.hash 、 location.search 、 document.referrer 等。

3.存储型

攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客，都有可能会执行这段恶意脚本，因此储存型XSS的危害会更大。

存储型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

XSS攻击会导致几个后果：1、攻击劫持访问；2、盗用cookie实现无密码登录；3、完成恶意请求；4、破坏网页正常的结构、样式甚至显示内容。

被黑客攻击整版显示赌博和色情信息的网站屡见不鲜，足见网站安全的重要性。如果网站有会员系统或者涉及在线支付和金融相关业务时，这些安全问题更是重中之重。

回想一下，在你和建站公司的沟通过程中，有没有谈及网站安全方面的具体内容。如果没有，那建站公司会不会帮你完善相关的安全防护呢，特别是模板建站和价格超低的定制建站。

这只是网站建设中很小的一个方面，网站建设的费用差异往往就是由这些不经意的细节加总起来的。