目录
题目2:Try It! Using Chrome or Firefox
题目10:Ientify Potential for DOM-Based XSS
XSS简介
XSS(Cross-Site Scripting),跨站脚本攻击,是通过在Web页面中插入可执行的代码,在用户浏览页面时代码被执行,从而达到攻击目的。
XSS主要分为三类:
- 反射型XSS
- 存储型XSS
- 基于DOM的XSS
XSS攻击通常通过页面上的输入框,搜索框等等可以输入的位置实现。例如在某个输入框中:<script>alert(1)</script>
如果网页没有做好XSS防护,那么这段JS代码就可能被执行。通过插入恶意代码,攻击者可以盗取cookies,重定向网页等等。
推荐一篇非常详细的XSS介绍:跨站脚本漏洞(XSS)基础讲解 - 简书