新学了两招,怕以后忘记,记录一下,(*^__^*) 嘻嘻……
xss注入:我的理解是,向表单中填写js或html等前端代码,来测试网站是否做了安全验证
原理:数据在记录到数据库中和在读取展示在前端页面时,如果没有做验证操作,则浏览器会将这些数据视为前端语言来执行过后展示在页面
1.通过js代码注入
向网站文本框中填写js脚本,如<script>alert("aa")</script>,那么在前端查询时,会弹出这个aa提示,
如果在alert("aa");为加一层死循环,那么查询此数据时,会死循环弹出"aa",导致页面无法再使用
2.通过<img>标签注入
向网站文本框中填写<img>标签:<img src="图片地址" />,那么在前端查询时,会展示这个图片文件
3.通过<iframe>标签注入
向网站添加信息文本中填写<iframe>标签:<iframe src="链接地址" ></iframe>,那么在前端查询时,会展示这个链接地址的小网页在网站中