开始使用 xss
概述跨站点脚本(通常称为 XSS)是一种 Web 应用程序注入攻击,其中恶意脚本被注入受信任的网站。
当攻击者利用或利用Web 应用程序中的缺陷将攻击者的有效负载发送到客户端的浏览器时,就会发生 XSS 攻击。当 Web 应用程序将用户输入发送到浏览器而未事先验证或编码时,通常会遇到这些缺陷。
XSS 有效负载在可信站点的域内执行,并且有可能访问该网站的 cookie,修改页面的 DOM 甚至滥用客户端的浏览器或扩展。
XSS 类型
虽然最终结果对于所有 XSS 攻击(服务器响应中的攻击者控制的有效负载)是相同的,但是存在三种不同类型的 XSS 漏洞。
- 存储的 XSS 是一种攻击,其中 XSS 有效负载永久存储在目标网站上,例如在数据库中。当客户端(例如受害者)加载诸如论坛板或评论部分的页面以加载有效载荷时,它将在其浏览器中执行。
- 反射的 XSS 是一种攻击,其中 XSS 有效负载随请求一起发送到服务器并反映在响应中。可以通过单击精心制作的链接,提交表单或许多其他传递机制来触发这些攻击。
- 客户端 XSS ,也称为基于 DOM 的 XSS ,是一种仅在客户端浏览器中发生的攻击(即,它不是由服务器的响应发送的),它通过操作 DOM 的环境来强制页面上的现有可信脚本执行 XSS 有效载荷。