xss漏洞

Posted 2020-11-04 呀小王呀

在学习xss漏洞之前我们先学习一下，什么叫做同源策略。

所谓同源策略指的是，浏览器对不同源的脚本或文本的访问方式进行限制。

在html语言中，有部分标签在引用第三方资源时，不受同源策略的限制：

<script>

<img>

<iframe>

<link>

下面我们来说xss漏洞的原理：

跨站脚本攻击（cross site scripting）的缩写，恶意攻击者往web页面里插入恶意script代码，当用户浏览该页之时，嵌入其中web里面的script代码会被执行，从而达到恶意攻击用户的目的。

xss漏洞发生在目标网站中目标用户的浏览器层面上，当用户浏览器渲染整个HTML文档的过程中，出现了不被预期的脚本指令并执行时，xss就会发生。

ps:xss漏洞通常指黑客通过“HTML注入”纂改了页面，插入了恶意的脚本，从而在用户浏览页面时，控制用户浏览器的一种攻击。

xss漏洞分为三种DOM型，存储型，反射型

DOM型：攻击代码在URL中，输出在DOM节点中

存储型：攻击代码在数据库中，输出在http响应中

反射型：攻击代码在URL中，输出在http响应中