xss 到底是什么 ?
黑客在你的浏览器中插入一段恶意JS脚本,窃取你的隐私信息冒充你的身份进行操作,这就是XSS攻击(Cross-Site-Scripting,跨站脚本攻击)。补充一下,为什么不叫CSS,是因为CSS是重叠样式,为了有所区别,即XSS。
XSS的类型有哪些 ?
- 发射型XSS(非持久型)
- 基于DOM的XSS
- 存储型XSS(持久性)
- 反射型
恶意JS脚本属于用户发送给网站请求中的一部分,随后网站又将这些部分返回给用户,恶意脚本在页面中被执行,一般发生在前后端一体的应用中,服务端逻辑会改变最终的网页代码。
- 基于DOM型
目前更流行前后端分离的项目,反射型XSS无用武之地,但这种攻击不需要经过服务器,网页本身的JS也是可以改变HTML,黑客正是利用这一点来实现的插入恶意脚本。