什么是XSS攻击
- XSS(Cross Site Scripting)攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并操作
- 这些操作一般可以完成下面这些事情:
- 窃取cookie
- 监听用户的行为,比如输入账号密码等
- 修改DOM伪造登录表单
- 在页面中生成浮窗广告
- 这些操作一般可以完成下面这些事情:
xss攻击指的是跨站脚本攻击,是一种代码注入攻击,攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息,如cookie等, xss的本质是因为网站没有对恶意脚本进行过滤,与正常代码混合在一起,浏览器没有办法辨别出哪些脚本是可信的,从而导致了恶意脚本的执行
xss攻击的类型
- xss一般分为
- 存储型:指的是恶意代码提交到了网站的数据库中,当用户请求数据的时候,服务器将其拼接为HTML后返回给了用户,从而导致了恶意代码的执行
- 反射型:指的是攻击者构建了特殊了URL,当服务器接收到请求后,从URL中获取数据,拼接到HTML后返回,从而导致了恶意代码的执行
- DOM型:指的是攻击者构建了特殊的URL,用户打开网站后,js脚本从URL中获取数据,从而导致了恶意代码的执行
反射型XSS 跟存储型XSS的区别是:存储型xss的恶意代码存在数据库中,反射型XSS 的恶意代码存在URL里
反射型XSS漏洞常见于通过URL传递参数的功能,如网站搜索,跳转等,由于需要用户主动打开恶意的URL,攻击会结合有很多诱导性手段让你点开
DOM 型 XSS 跟前两者 XSS 的区别: DOM 型 XSS 攻击,取出和执行