[基础漏洞]xss漏洞

原理：

服务器对用户提交的数据过滤不严，导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行。通过插入恶意脚本，实现对用户浏览器的攻击

类型：

         反射型

            你发送一次带XSS代码的请求，只能在当前返回的数据包中发现XSS代码；

          存储型

             你发送一次带XSS代码的请求，以后这个页面的返回包里都会有XSS代码；

          DOM型

             你发送一次带XSS代码的请求，在返回包里压根儿就找不到XSS代码的影子；

 危害：

        1.盗取用户Cookie

         2.未授权操作

         3.修改DOM

        4.劫持用户

        5.xss蠕虫攻击

       6.刷浮窗广告

防御：

   1.设置黑白名单过滤。

xss绕过：

       1.  大小写

        2. js伪造

        3. 没有分号

        4.  Flash

        5.Html5新标签

        6.Fuzz进行测试

        7.双层标签绕过

总结：

服务器对用户提交的数据过滤不严，导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行。通过插入恶意脚本，实现对用户浏览器的攻击。危害：盗取盗取各种用户账号 ,防御：添加黑白面单过滤关键字eval()、setTimeout()、setInterval()、document.write()、document.location.href等的关键字