XSS简介
xss中文全称为跨站脚本(Cross Site Script),是指攻击者利用网站应用程序对用户的输入过滤不足的缺陷,使得用户的输入可以显示在网站页面上对其他网站用户造成影响的HTML代码,从而盗取用户资料,利用用户生份或者对访问者进行病毒侵害的一种攻击方式。
XSS攻击原理
跨站脚步的本质上是一种将恶意脚本嵌入到网站页面中并执行的攻击方式。
XSS带来的危害
- 窃取用户cookie信息
- 进行内网的探测
- 弹出广告等
XSS分类
我们可以从XSS的攻击所存在的形式及产生的效果,可将其分为如下三类
- 反射型XSS
- 存储型XSS
- DOM型XSS
XSS攻击条件
- 输入点和web后端为对用户的输入进行过滤或过滤不严格
- 输出点可以执行输入的payload
XSS防御基本方法
- 过滤特殊字符
- 使用实体化编码
- 使用HttpOnly
that's all