跨站脚本攻击(XSS)
简介
跨站脚本攻击,全称是Corss Site Script。xss是指人为通过html注入篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
xss的种类
第一种类型:反射型xss
反射型xss只是简单得把用户输入的数据“反射”给浏览器。也就是说,黑客汪汪需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型xss也叫做“非持久型xss”。
第二种类型:存储型xss
存储型xss会把用户输入的数据存储在服务器端。这种xss具有很强的稳定性。
比较常见的一个场景就是,黑客写下一篇包含有恶意javascript代码的博客文章,文章发表后,所有访问该博客的用户,都会在他们的浏览器中执行这段恶意的javascript代码。黑客把恶意的脚本保存到服务器端,所以这种xss攻击就叫做存储型xss,也就是持久型xss。
第三种类型:基于DOM型xss(DOM Based xss)
实际上,这种类型的xss并非按照“数据是否保存在服务端”来划分,DOM Based xss从效果上来说也是反射型xss。单独划分出来,是因为dom based xss的形成原因比较特殊。DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞。