Web安全之XSS漏洞详解_xss一般出现在哪

一、概念

xss 中文名是“跨站脚本攻击”，英文名“Cross Site Scripting”。为了不与网页中层叠样式表（css）混淆，故命名为xss
xss也是一种注入攻击，当web应用对用户输入过滤不严格，攻击者写入恶意的脚本代码（HTML、JavaScript）到网页中时，如果用户访问了含有恶意代码的页面，恶意脚本就会被浏览器解析执行导致用户被攻击。
常见的危害有：cookie窃取，session劫持，钓鱼攻击，蠕虫，ddos等。

xss根据特性和利用方式可以分成三大类，反射性xss 、存储型xss、DOM型xss、

• 反射型XSS：一般出现在URL参数中，以及网站搜索栏中，由于需要点击包含恶意代码的URL才可以触发，并且只能触发一次，也称为非持久型xss。
• 存储型XSS：一般出现在留言板上，评论处，个人资料填写，等需要用户可以对网站写入数据的地方，比如一个论坛处由于对用户输入过滤不严格，导致攻击者在写入一段窃取cookie的恶意JavaScript代码到评论处，这段恶意代码会写入数据库中，当其他用户浏览写入代码的页面时，网站从数据库中读取恶意代码显示到网页中被浏览器执行，导致用户的cookie被窃取攻击者无需受害者密码既可以登陆账户，所以也被成为持久性xss，持久性xss比反射性xss危害性大得多。
<