XSS --->跨站脚本攻击(Cross Site Scripting),与CSS有冲突,帮命名为XSS,也被认为是phishing攻击
注入的方式;
1、<a><script>alert(1);</scrtip></a>|| <div><script>alert();</script></div>
利用el.innerHTML="<scrtip>code</script>"
2、img标签 <img src ="javascript:code"></img> <iframe src="javascrip:code"></iframe>
<img src="" οnerrοr="javascript:code"/>
3、document.write('u name is' + aler(3));
4、 https://test.com.cn?name="><script>prompt('XSS Vulnerability')</script>
如果JSP里面有这么一段代码(本处使用了EL):
<input value="${name}"/>
name参数中的值将会对input进行截断,并声称script片段,从而运行script
触发条件包括:完整无错的脚本标记,访问文件的标记属性和触发事件。