- cross site script,利用 HTML 注入篡改网页,插入恶意脚本的攻击方式
简介
分类
- 反射型:简单把用户输入的数据反射给浏览器,通常需要诱使用户点击一个恶意链接
- 存储型
- DOM Based XSS:通过修改 DOM 节点形成的 XSS
XSS 攻击进阶
XSS payload
- 能够完成各种具体功能的恶意脚本叫做 xss payload
- 常见的攻击方式
- cookie 劫持:通过 xss 读取浏览器的 cookie 对象
- 可以获取真实 ip
XSS 攻击平台
XSS 蠕虫
- 一般发生在一些用户交流频繁的场景,比如,用户留言,评论
XSS 防御
httponly
- 禁止通过 js 访问 cookie
输入检查
- 规范表单的输入格式,方式特殊字符构成代码进行攻击