XSS攻击
“跨站"这个词在网络安全领域通常指的是"跨域”,即攻击者通过某种方式从一个域(通常是攻击者控制的恶意网站)影响到另一个域(通常是用户想要正常访问的合法网站)。在跨站脚本攻击(XSS)的上下文中,"跨站"指的是攻击者能够在受害者的浏览器中执行来自不同域的脚本,这些脚本能够访问受害者的会话信息、cookie等敏感数据,并可能将这些数据发送到攻击者的服务器上。
- 存储型XSS(Persistent XSS):
-
- 恶意脚本被永久存储在目标服务器上,如数据库、消息论坛、访客留言板等。
- 当浏览器访问被攻击的网页时,恶意脚本从服务器传到浏览器执行。
- 反射型XSS(Reflected XSS):
-
- 恶意脚本并不存储在目标服务器上,而是通过诸如URL参数的方式直接传到受害者的浏览器。
- 通常,攻击者通过诱使用户点击链接、访问恶意网站或点击电子邮件中的恶意链接发起攻击。
- 基于DOM的XSS(DOM-based XSS):
-
- 这类XSS攻击发生在客户端,不涉及与服务器交互。
- 攻击者通过修改页面的DOM结构,插入并执行恶意脚本。