三种xss:
反射:需攻击者提前构造一个恶意链接,诱使用户点击(经后端,不经数据库)
存储:攻击者在论坛的楼层包含一段恶意代码,并且服务器未进行正确的过滤输出,造成浏览该页面的用户执行这段代码(经过后端与数据库)
DOM:利用非法输入来闭合对应的HTML标签(不经过后端,是基于文档对象模型的一种漏洞,是通过url传入参数去控制触发的)
Xss(refiected反射型)
Low等级:
代码显示X-XSS-Protection:0(0: 表示关闭浏览器的XSS防护机制)即未实施任何防御措施,且对name没有任何的判断处理,用户输入什么都会被执行。
输入hello,正常跳转的输出:
输入带有脚本的字符串:<script>alert("helloworld")</script>
该网站会进行弹窗。脚本中的alert函数是一个弹出警告对话框。