xss跨站脚本攻击
一、产生原因
对用户输入的过滤不足
二、常见类型
反射型-非持久型:
通过客户端可操作的前端变量注入,经过后端,不经过数据库保存,一般为一次性攻击,通过诱导其他用户访问被xss操作后的URL进行攻击
存储型-持久型:
通过客户端可操作的前端变量注入,经过后端,进入数据库持久化,其他用户每次访问被xss入侵的界面都会启动恶意脚本攻击
DOM型-DOM反射型:
通过前端可操作的DOM注入,不经过后端(不经过数据库),和反射型类似,一般也是通过URL诱导点击触发攻击
三、常见危害
- 窃取用户的token解析用户的cookie(document.cookie)实现无密码登录
- 流量劫持、2011年新浪微博的xss攻击事件,导致大量跳转链接转发某恶意微博