简介
对于没有对用户提交数据进行过滤的网站,恶意攻击者可以在提交的用户数据中添加代码,嵌入到web页面中,进而诱导别的用户访问并执行嵌入代码,从而窃取用户资料和权限。
类型:
反射:攻击者诱导用户点击含有xss代码的链接,去往对应的服务器,服务器收到请求后,将带有xss的数据再次发送给用户,此时用户的浏览器默认执行xss代码,从而出发漏洞。
存储:xss代码存储在服务器表单中,用户打开就执行攻击代码
DOMBasedXSS:
https://www.oschina.net/translate/dom-based-xss-of-third-kind
例:简单xss攻击
有个表单域:
1、假若用户填写数据为:)
2、提交后将会弹出一个foolish警告窗口,接着将数据存入数据库
3、等到别的客户端请求这个留言的时候,将数据取出显示留言时将执行攻击代码,将会显示一个foolish警告窗口。
具体实例:
https://www.cnblogs.com/phpstudy2015-6/p/6767032.html#_label0