XSS
XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行。
XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。
DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面,如果这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS。DOM型XSS可能是存储型,也有可能是反射型。
CSRF与XSS二者区别
CSRF:无法获取受害者的cookie,无法看到cookie;
只是利用受害者是被服务器信任的(靠验证cookie),而给服务器发送请求;
XSS:利用cookie只是xss的一种体现,xss还可以篡改网页、URL跳转等等;
跨站脚本,脚本可以做什么,xss就可以做什么;
单在利用cookie上来说:获取受害者的cookie,从而得到服务器的信任,进行后续攻击 。
获取手段是反射、存储、dom。
注:不同浏览器cookie不能共享
反射型XSS
目录