什么是XSS?XSS 。全称为Cross Site Scripting 。意思是跨站脚本攻击 。为了与层叠样式表(CSS:Cascading Style Sheets)区分 。故其缩写改为XSS 。
XSS攻击的原理是恶意攻击者在Web页面里插入恶意脚本 。当用户浏览该页面时 。嵌入的脚本代码会被执行 。从而达到攻击目的 。通常攻击者会通过XSS攻击来盗取用户隐私信息 。
文章插图
文章插图
黑客诱导受害者点击恶意url
XSS漏洞分类攻击者之所以有可乘之机 。就是因为Web系统存在可以被XSS攻击利用的漏洞 。XSS漏洞主要分为持久型XSS漏洞和非持久性XSS漏洞 。
非持久性XSS漏洞是指 用于攻击的XSS脚本不会被后端持久化保存在服务器上或数据库里面 。攻击方式也不止一种 。比如DOM XSS漏洞、反射性漏洞等 。
DOM XSSDOM-based XSS漏洞是基于文档对象模型(DOM: Document Object Model)的一种漏洞 。通常是通过url传入参数来控制触发的 。比如网页上有这么一段javascript代码:
<script>document.write(location.href.substring(location.href.indexOf('default=') + 8));</script>
这段代码的本意是:取出url里的default参数的值 。然后显示到页面上 。但这样会带来一个问题:如果default的值是一段包裹在script标签里的js代码 。也会被加载执行 。基于这个漏洞 。攻击者可以设计一个诱导用户点击的url:
推荐阅读
- 你觉得世界十大悲曲是哪些?
- 有1万块钱可以随存随取,存在哪里能够每天赚一块?
- 科学家预测:新冠疫情大流行能在2022年结束?新冠病毒未来会怎样
- 做滴滴代驾的收入怎么样?
- 一万块本金一天挣一百都有哪些项目呢?
- 冬至是什么意思 冬至有什么寓意
- 做滴滴代驾和e代驾哪个好,收入怎么样?
- 本人农村人现在有闲置资金一万多块,我想问一下做什么能一天赚一百来块钱?不想做早餐?
- 手把手教你阳台种菜 最齐全的阳台种菜方法