xss介绍
xss意为跨站脚本攻击,通常是指攻击者构造恶意的url发送给用户从而达到挟持用户会话的功能。xss分为三类,反射型xss,储存型xss,DOM型xss
反射型xss
反射型xss是通过往url中添加恶意的JavaScript代码发送给用户触发,只能触发一次所有也叫做“非持久性xss”
如攻击者构造以下url
http://。。。。。。。?uname=“”
如果用户点击这个url服务器就会接收用户请求处理,然后将cookie值返回给浏览器,浏览器解析这个代码,就会弹出一个带cookie值的弹窗。
者就是反射型xss的攻击过程
存储型xss
存储型xss通常是放在服务器的数据库中,如攻击者将一串恶意代码放在一个论坛的留言中当用户访问这个页面时,服务器响应请求返回给浏览器从而导致xss漏洞。通过改变代码的内容就可以实现信息的盗取。
DOM型xss
DOM XSS是基于dom文档对象模型,前端脚本通过dom动态修改页面,由于不与服务端进行交互,而且代码是可见的,从前端获取dom中的数据在本地执行。也就是说,客户端的脚本程序可以通过DOM动态修改页面内容,从客户端获取DOM中的数据并在本地执行。
关于DOM型xss可以看下面文章有详解
https://blog.csdn.net/Bul1et/article/details/85091020
来源:CSDN
作者:带头大哥段坤
链接:https://blog.csdn.net/qq_40252049/article/details/103755530