XSS 攻击(Cross-Site Scripting,跨站脚本攻击)是 Web 安全中最常见的一种漏洞。为了避免与 CSS(层叠样式表)混淆,缩写为 XSS。 简单来说,XSS 攻击是指攻击者在 Web 页面中植入恶意的脚本代码(通常是 JavaScript),当用户浏览该页面时,嵌入的脚本代码会被执行,从而达到恶意目的。 --- 一、 XSS 攻击的原理与危害 1. 原理 Web 浏览器通常会将服务器返回的内容当作 HTML/JavaScript 解析并执行。如果服务器没有对用户的输入进行严格的过滤或转义,直接将其拼接到 HTML 中返回给浏览器,浏览器就会把用户的输入当作代码执行。 例子: 假设一个搜索页面,会在页面上显示:“你搜索的内容是:[用户输入]”。 如果用户输入 ,页面显示 。 如果用户输入 ,页面源码变成: 浏览器看到 标签,就会执行里面的代码,弹出一个对话框。 2. 危害 一旦脚本在受害者的浏览器中执行,攻击者可以: 窃取 Cookie/Session: 获取用户的登录凭证,从而盗取账号。 监听用户行为: 记录键盘输入(如银行卡号、密码)。 修改页面内容: 伪...
播面