XSS基础

1、什么是XSS?

       中文名为跨站脚本攻击，跨站脚本，(Cross-Site Scripting, XSS)，当目标网站用户在渲染HTML文档的过程中，出现非预期的脚本指令并执行时，XSS就发生了。

2、攻击者给予应用恶意XSS代码，导致用户访问应用或服务器时执行代码，导致被XSS攻击。

  攻击者→服务器→用户（xss是一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供、最终为用户浏览器加载）

3、XSS的危害： 1.网络钓鱼，包括盗取各类用户的账号

                            2.窃取用户cookies资料，从而获取用户信息。

                            3.获取客户端信息，IP/端口等

                            4.劫持用户浏览器会话，从而执行任意操作

                            5.强制弹出窗口。

                            6.网页挂马，进行恶意操作

                            7.进行大量的客户端攻击 如DDoS攻击

                            8.控制受害者机器向其他客户端攻击

4、XSS分类  

①反射型 ：非持久型，调取用户cookie或者进行钓鱼，常常为通过引诱用户点击一个恶意链接来实施攻击。

特点：

① 主要用于将恶意脚本附加到URL地址的参数中

② 只在用户单击url时触发,而且只执行一次,非持久化

③常用来窃取客户端 Cookies或进行钓鱼欺骗.

④常常为通过引诱用户点击一个恶意链接来实施攻击的）name为可控参数

 我们可以通过执行恶意代码弹窗，那么也能