XSS跨站脚本攻击
跨站脚本攻击XSS
,是最普遍的Web
应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
类型
-
反射型
XSS
: 攻击者事先制作好攻击链接,需要欺骗用户自己去点击链接才能触发XSS
代码,所谓反射型XSS
就是将恶意用户输入的js
脚本,反射到浏览器执行。 -
存储型
XSS
:代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS
非常危险,容易造成蠕虫,大量盗窃cookie
,也被称为持久型XSS
。 -
DOM
型XSS
:类似于反射型XSS
,但这种XSS
攻击的实现是通过对DOM
树的修改而实现的。