XSS

什么是xss

全称:Cross Site Script

中文名称:跨站脚本

危害:盗取用户信息、钓鱼、制造蠕虫等。

概念:黑客通过“HTML注入”篡改网页、插入恶意脚本,当用户在浏览网页时,实现控制用户浏览器行文的一种攻击方式。

XSS分类

  • 存储型
    访问网站,触发XSS,黑客把带有xss语句写入数据库
  • 反射型
    访问携带xss脚本的链接触发XSS
    获取参数后,直接输出到客户端,导致XSS 经过服务器
  • DOM型
    访问携带XSS脚本的链接触发XSS 是直接操作页面上的js控制dom 执行xss 不经过服务器
xss类型 存储型 反射型 DOM型
触发过程 1.黑客构造XSS脚本 2.正常用户访问携带XSS脚本的页面 正常用户访问携带XSS脚本的URL 正常用户访问携带XSS脚本的URL
数据存储 数据库 URL URL
谁来输出 后段WEB应用程序 后段WEB应用程序 前端JavaScript
输出位置 HTTP响应中 HTTP响应中 动态构造的DOM节点