1、XSS简介
XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与CSS(Cascading Style Sheets)混淆,故将跨站脚本攻击缩写为XSS,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
通俗的来说就是我们的页面在加载并且渲染绘制的过程中,如果加载并执行了意料之外的程序或代码(脚本、样式),就可以认为是受到了 XSS攻击。通常黑客通过“HTML注入”篡改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器。
XSS多是发生在web前端的一种漏洞,所以危害的对象主要还是前端用户。
2、XSS攻击的危害
XSS常被列为是客户端web安全中的头号大敌。因为XSS的破坏力强大,且场景复杂,难以一次性解决。危害有:
2.1、网站挂马
2.2、盗取用户Cookie、账号等信息
2.3、控制企业使劲,包括读取、篡改、添加、删除企业敏感数据的能力
2.4、盗窃企业重要的具有商业价值的资料
2.5、DOS(拒绝服务)客户端浏览器
......
3、XSS攻击的分类
现在业界内打成的共识是:针对不同产生场景的XSS,区分对待。可以分为以下几种:反射型XSS、存储型XSS、DOM 型 XSS。
3.1、反射型XSS
又叫非持久型XSS。反射型xss只是简单地把用户