XSS介绍

1.定义：跨站脚本攻击英文全称为 (Cross Site Script）缩写为 CSS，但是为了和层叠样式表 (Cascading Style Sheet） css 区分开来，所以在安全领域跨站脚本攻击叫做XSS

2.目的：获取用户cookie

3.基本步骤：

（1）用户必须先登录然后有了cookie

（2）黑客将含有恶意xss代码（获取cookie）的网站发送给用户并且诱导用户点击

（3）获取cookie后通过用户的cookie进行登录即可

4.分类：

（1）反射型 XSS 又称之为非持久型 XSS，黑客需要通过诱使用户点击包含 XSS 攻击代码的恶意链接（url），然后用户浏览器执行恶意代码触发 XSS 漏洞

（2）存储型 XSS 会把用户输入的数据存储在服务器端，这种XSS 可以持久化，而且更加稳定。比如黑客写了一篇包含 XSS 恶意代码的博客文章，那么访问该博客的所有用户他们的浏览器中都会执行黑客构造的 XSS 恶意代码，通常这种攻击代码会以文本或数据库的方式保存在服务器端，所以称之为存储型 XSS

（3）DOM（document object model）型 XSS 也是特殊的反射型 XSS 通过修改DOM型节点（注入js代码）来进行XSS攻击，也就是说我们的链接中（url）不含有恶意代码