什么是xss
XSS全称是Cross Site Scripting(为了和CSS进行区分,就叫XSS)即跨站脚本。
类型
XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS
危害
网站注入点注入到客户端
会被获取信息,钓鱼,注入木马,增删改后台数据,xss蠕动,等危害
反射型XSS(非持久型)
发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以称反射型XSS。
像在搜索框中进行插入弹框,则产生了xss
<srcipt>alert(1)</script>
存储型XSS(持久型)
存储型XSS和反射型XSS的差别在于,提交的代码会存储在服务器端(数据库、内存、文件系统等),下次请求目标页面时不用再提交XSS代码。仍会运行xss代码。主要攻防在留言板有所体验。
DOM XSS
javascript操作Dom,实现dom树的重建,DOM XSS的XSS代码并不需要服务器解析响应的直接参与,触发XSS靠的就是浏览器端的DOM解析。