XSS跨站脚本攻击漏洞之1原理及分类

本文详细介绍了XSS跨站脚本攻击的原理,包括介绍其为前端页面注入恶意代码以获取用户信息的方式。接着,文章深入探讨了XSS的三种类型:反射型、存储型和DOM型,解释了每种类型的攻击过程和应用场景。最后,通过对比分析,揭示了这三种XSS类型危害程度的差异,以帮助读者更好地理解XSS漏洞。
摘要由CSDN通过智能技术生成

说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~


一、XSS漏洞介绍

1.简介

XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。
跨站点脚本(XSS)攻击是一种针对网站应用程序的注射型攻击,攻击者在可信的网页中嵌入恶意代码,用户访问可信网页时触发XSS而被攻击。

2.原理

攻击者在有XSS漏洞的前端页面嵌入恶意代码,导致受害者访问页面再不知情的情况下触发恶意代码,获取到受害者的信息。
形成XSS漏洞的原因,是对输入输出的内容过滤不严格,构造的恶意js代码被前端执行。

3.攻击过程

画个图来展示一下它的大致攻击过程:
在这里插入图片描述

  • 常见的恶意JS脚本有获取用户的cookie、或者是键盘钩子来记录用户的键盘输入。

二、XSS的分类

XSS漏洞分为三个类型:反射型、存储型、DOM型。

1.反射型

反射型XSS是一次性的,非持久型攻击。

可能的攻击方式:
攻击者可以通过电子邮箱等方式将包含XSS的恶意js代码的链接发送给目标用户。当用户

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值