XSS 漏洞简介
XSS(Cross-Site Scripting 跨站脚本攻击)是一种代码注入攻击,其重点是“跨域”和“客户端执行”。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。
根据攻击的来源,XSS攻击分为反射型(非持久型)、存储型(持久型)、DOM型三种。
类型 | 存储区(恶意代码存放的位置) | 插入点(由谁取得恶意代码,并插入到网页上) |
Reflected XSS(反射型) | URL | HTML |
Stored XSS(存储型) | 后端数据库 | HTML |
DOM-based or local XSS(基于DOM或本地) | 后端数据库/前端存储/URL | 前端JavaScript |
参考资料: 前端安全系列(一):如何防止XSS攻击?