1. cross site script,利用 HTML 注入篡改网页,插入恶意脚本的攻击方式

简介

分类

  1. 反射型:简单把用户输入的数据反射给浏览器,通常需要诱使用户点击一个恶意链接
  2. 存储型
  3. DOM Based XSS:通过修改 DOM 节点形成的 XSS

XSS 攻击进阶

XSS payload

  1. 能够完成各种具体功能的恶意脚本叫做 xss payload
  2. 常见的攻击方式
    1. cookie 劫持:通过 xss 读取浏览器的 cookie 对象
    2. 可以获取真实 ip

XSS 攻击平台

XSS 蠕虫

  1. 一般发生在一些用户交流频繁的场景,比如,用户留言,评论

XSS 防御

httponly

  1. 禁止通过 js 访问 cookie

输入检查

  1. 规范表单的输入格式,方式特殊字符构成代码进行攻击