步骤4-1:提交框中输入<script>alert(“hello qton”)</script>
介绍:http://blog.csdn.net/cjf_iceking/article/details/52176029
跨站脚本攻击(Cross Site Script, XSS),通常来说就是在网页中嵌入恶意代码, 通常来说是Javascript,当用户访问网页的时候,恶意脚本在浏览器上执行。
XSS主要分为三种类型: 反射型XSS,存储型XSS和DOM型XSS。
存储型XSS流程:
-
a. 比如在某个论坛提供留言板功能,黑客在留言板内插入恶意的html或者Javascript代码,并且提交。
-
b. 网站后台程序将留言内容存储在数据中
-
c. 然后一个用户也访问这个论坛,并刷新了留言板,这时网站后台从数据库中读取了之前黑客的留言内容,并且直接插入在html页面中,这就可能导致了:黑客留言的脚本本身应该作为内容显示在留言板的,然后此时可能黑客的留言脚本被浏览器解释执行了。。。。
<img src=1οnerrοr=alert(1) />