什么是XSS?
XSS通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。
- 跨站脚本攻击(前端注入)
- 注入攻击的本质,是把用户输入的数据当做前端代码执行。
- 这里有两个关键条件:
第一个是用户能够控制输入;
第二个是原本程序要执行的代码,拼接了用户输入的数据。 SQL
注入拼接的是操作数据库的SQL
语句。XSS
拼接的是网页的HTML
代码,一般而言我们是可以拼接出合适的HTML
代码去执行恶意的JS
语句(