XSS 全称是Cross Site Scripting(跨站脚本), 为了与“CSS”区分开,故简称XSS。是指黑客往HTML文件中或者DOM中注入恶意脚本,从而再用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。
XSS可以做哪些事情
1.可以窃取Cookie信息。恶意脚本可以通过“document.cookie”获取Cookie信息,然后通过XMLHttpRequest或者Fetch加上CORS功能将数据发送给恶意服务器;恶意服务器拿到用户的Cookie信息之后,就可以模拟用户登录,然后进行其他操作了。
2.可以监听用户行为,恶意脚本可以使用“addEventListener"来监听键盘事件,比如可以获取用户输入的个人信息,将其发送到恶意服务器,黑客掌握这些信息之后,又可以进行其他操作了。
3.可以通过修改DOM伪造假的登录窗口,用来欺骗用户输入用户名和密码等个人信息
4.在页面内生成浮窗广告,影响用户体验。