XSS简介
跨站脚本攻击(Cross Site Script)本来缩写是CSS,但是为了与层叠样式表(Cascading Style Sheet)区分,所以在安全领域叫做 “XSS”。
XSS 攻击,通常指黑客通过 HTML 注入 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。
在这种行为最初出现之时,所有的演示案例全是跨域行为,所以叫做 “跨站脚本
” 。时至今日,随着Web 端功能的复杂化,应用化,是否跨站已经不重要了,但 XSS 这个名字却一直保留下来。
那么什么是XSS呢?看看下面的例子。
假设一个页面吧用户输入的参数直接输出到页面上:
<?php
$input = $_GET["param"];
echo "<div>".$input."</div>"
?>
正常情况下,用户向param
提交的数据会展示到页面中,比如提交: