概念:通常指黑客通过“html注入”篡改了网页 , 插入了恶意的脚本 , 从而在用户浏览网页时 , 实现控制用户浏览器行为的一种攻击方式 。
全称:Cross Site Script(本来缩写是css , 但是为了和层叠样式表CSS有所区别 , 所以在安全领域叫做“XSS”)
危害:盗取用户信息、篡改页面钓鱼、制造蠕虫等 。
XSS分类:存储型、反射型、DOM型
反射型XSS
反射型XSS只是简单地把用户输入的数据“反射”给浏览器 。也就是说 , 黑客往往需要诱使用户“点击”一个恶意链接 , 才能攻击成功
如下 , 查询name信息 , 正常用户请求:
文章插图
如果那name参数1修改成 , 则显示结果:
文章插图
存储型XSS
如下 , 正常留言或者评论 , 显示如下:
文章插图
如果将message信息写成 , 则显示
文章插图
DOM XSS
基于DOM型的XSS是不需要与服务器端交互的 , 它只发生在客户端处理数据阶段 。
下面一段经典的DOM型XSS示例 。
上述代码的意思是获取URL中content参数的值 , 并且输出 , 如果输入http://www.xxx.com/dom.html?content= , 就会产生XSS漏洞 。
【XSS 跨站脚本攻击】
推荐阅读
![[申申说财经]三个原因继续施压油价,原油亚盘:美油继续在20美元附近徘徊](https://imgcdn.toutiaoyule.com/20200418/20200418052035947596a_t.jpeg)
- 分享一个mysql主从监控脚本
- 流行的发饰越来越“便宜”想追上时尚的脚本变得不再艰难
- 分享天天酷跑2021最新版脚本 天天酷跑什么时候出的
- 深水|《深水》影评:开放性的婚姻,脚本很乏味
- 暴雪|70岁老玩家被《魔兽世界》封号 儿子回应:暴雪把他当成了脚本
- 微软|女星林明祯XSS新春广告新片段 女神体验XGP超实惠
- 中国联通|上传速率、覆盖能力大增!联通携手华为5G超级上行实现“跨站”规模首商用
- PS5|《战地2042》全平台画面测试结果出炉:PS5部分表现不如XSS 翻车严重
- GitHub|全球最大的“同性交友站”GitHub 竟然藏着《王者荣耀》脚本
- 魔兽世界|严打工作室 暴雪宣布封杀《魔兽世界》脚本同步器