XSS跨站脚本原理:
跨站脚本攻击XSS(Cross Site Scripting),为了不和HTML中的层叠样式表(CSS)缩写混淆,所以将跨站脚本攻击缩写为XSS。恶意攻击者往WEB页面插入恶意Script代码,当用户浏览该页面时,嵌入WEB页面的Script代码被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!
XSS分类:
- 存储型XSS:持续型,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或者过滤不严,那么代码将被存储到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie。
- 反射型XSS:非持续型,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中这样没有这样的页面和内容),一般容易出现搜索页面。反射型XSS大多数用户Cookie信息。
- DOM型XSS:不经过后端,DOM型-XSS漏洞是通过url传入参数去控制触发的,其实也属于XSS