什么是XSS攻击
跨站脚本攻击,英文全称是Cross Site Script,本来应该简写CSS。但是CSS已有所指,所以改称XSS
XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击
一个简单的XSS示例
XSS的分类
第一种类型:反射型XSS反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。
反射型XSS也叫做“非持久型XSS”。
第二种类型:存储型XSS存储型XSS会把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性。
比较常见的一个场景就是,黑客写下一篇包含有恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码。
黑客把恶意的脚本保存到服务器端,所以这种XSS攻击就叫做“存储型XSS”。
存储型XSS通常也叫做“持久型XSS”(Persistent XSS)。
第三种类型:DOM型XSS,通过修改页面的DOM节点形成的XSS