xss漏洞

Posted 呀小王呀

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了xss漏洞相关的知识,希望对你有一定的参考价值。

在学习xss漏洞之前我们先学习一下,什么叫做同源策略。

所谓同源策略指的是,浏览器对不同源的脚本或文本的访问方式进行限制。

html语言中,有部分标签在引用第三方资源时,不受同源策略的限制:

<script>

<img>

<iframe>

<link>

下面我们来说xss漏洞的原理:

跨站脚本攻击(cross site scripting)的缩写,恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的。

xss漏洞发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中,出现了不被预期的脚本指令并执行时,xss就会发生。

ps:xss漏洞通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。

xss漏洞分为三种DOM型,存储型,反射型

DOM型:攻击代码在URL中,输出在DOM节点中

存储型:攻击代码在数据库中,输出在http响应中

反射型:攻击代码在URL中,输出在http响应中

以上是关于xss漏洞的主要内容,如果未能解决你的问题,请参考以下文章

2016-02-03 xss漏洞

XSS漏洞基础入门

Pikachu靶场之XSS漏洞详解

教你如何玩转XSS漏洞

开源 Web 应用最常见漏洞是 XSS 和 SQLI 漏洞

XSS漏洞详解