XSS
什么是xss
全称:Cross Site Script
中文名称:跨站脚本
危害:盗取用户信息、钓鱼、制造蠕虫等。
概念:黑客通过“HTML注入”篡改网页、插入恶意脚本,当用户在浏览网页时,实现控制用户浏览器行文的一种攻击方式。
XSS分类
- 存储型
访问网站,触发XSS,黑客把带有xss语句写入数据库 - 反射型
访问携带xss脚本的链接触发XSS
获取参数后,直接输出到客户端,导致XSS 经过服务器 - DOM型
访问携带XSS脚本的链接触发XSS 是直接操作页面上的js控制dom 执行xss 不经过服务器
| xss类型 | 存储型 | 反射型 | DOM型 |
|---|---|---|---|
| 触发过程 | 1.黑客构造XSS脚本 2.正常用户访问携带XSS脚本的页面 | 正常用户访问携带XSS脚本的URL | 正常用户访问携带XSS脚本的URL |
| 数据存储 | 数据库 | URL | URL |
| 谁来输出 | 后段WEB应用程序 | 后段WEB应用程序 | 前端JavaScript |
| 输出位置 | HTTP响应中 | HTTP响应中 | 动态构造的DOM节点 |