XSS:XSS攻击成功后,攻击者能够对用户当前浏览器的页面植入恶意脚本,通过恶意脚本,控制用户的浏览器。这些用以完成各种具体功能的恶意脚本,被称为"XSS Payload"。
XSS Payload实际上就是JavaScript脚本,所以任何JavaScript脚本能实现的功能,XSS Payload都能做到。
简单来说就是js代码,植入页面后会导致出现一些错误,比如在某个输入域内输入一段js脚本(<script>alert('01')</script> )提交后,页面没有信息展示或者弹窗运行了,都是问题,需要解决。
不止输入域要验证,输入域提交的信息对应的展示页面,也都需要验证。
这只是安全测试的冰山一角,需要研究的地方还很多,目前只接触了功能上注入代码的XSS安全测试。