XSS 跨站腳本攻擊介紹

跨站腳本攻擊英文全稱為（Cross site Script）縮寫為 CSS，但是為了和層疊樣式表（Cascading Style Sheet）CSS 區(qū)分開來，所以在安全領域跨站腳本攻擊叫做 XSS

XSS 攻擊原理

XSS 攻擊通常指黑客通過往 Web 頁面中揑入惡意 Script 代碼，當用戶訪問網頁時惡意代碼在用戶的

瀏覽器中被執(zhí)行，從而劫持用戶瀏覽器竊叏用戶信息。

反射型XSS

反射型XSS 又稱乊為非持久型 XSS，黑客需要通過誘使用戶點擊包含 XSS 攻擊代碼的惡意鏈接，然后用戶瀏覽器執(zhí)行惡意代碼觸収 XSS 漏洞。

存儲型XSS

存儲型XSS 會把用戶輸入的數據存儲在服務器端，這種 XSS 可以持久化，而且更加穩(wěn)定。

比如黑客寫了一篇包含XSS 惡意代碼的博客文章，那么訪問該博客的所有用戶他們的瀏覽器中都會執(zhí)行黑客構造的 XSS 惡意代碼，通常這種攻擊代碼會以文本戒數據庫的方式保存在服務器端，所以被稱為存儲型 XSS。

Dom Based XSS

DOM 概述：HTML DOM 定義了訪問和操作 HTML 文檔的標準方法。

DOM 將 HTML 文檔表達為樹結構。HTML DOM 樹結構如下：

DOM 型 XSS 并且根據數據是否保存在服務器端來迚行劃分，從效果來看它屬于反射性 XSS，但是因

為形成原因比較特殊所以被單獨作為一個分類，通過修改DOM 節(jié)點形成的 XSS 攻擊被稱為 DOM 型

XSS。