XSS(Cross-Site Scripting,跨站脚本攻击) 是一种常见的 Web 安全漏洞。为了避免与 CSS(层叠样式表)缩写混淆,因此被称为 XSS。 简单来说,XSS 攻击允许恶意攻击者将恶意代码(通常是 JavaScript,但也包括 HTML、Flash 等)注入到用户浏览的网页中。当受害者访问这些网页时,浏览器会执行这些恶意代码,从而导致用户信息泄露或被恶意操作。 --- 一、 XSS 的攻击原理 Web 浏览器通常会无条件地信任服务器发送过来的 HTML 和脚本。如果网站没有对用户提交的数据进行严格的过滤或转义,直接将其显示在页面上,攻击者就可以利用这一点。 核心流程: 1. 攻击者构造一段恶意脚本(例如 )。 2. 攻击者通过某种方式将这段脚本注入到目标网站的页面中。 3. 受害者访问该页面。 4. 受害者的浏览器执行了这段脚本。 5. 脚本窃取受害者的 Cookie、Session ID,或者进行其他恶意操作。 --- 二、 XSS 的三种主要类型 根据攻击代码的存储位置和触发方式,XSS 主要分为三类: 1. 存储型 XSS (Stored XSS) —...
播面