Cross Site Scripting,跨站脚本。发生在目标用户浏览器界面,当DOM树在渲染过程中执行了不可预期的JS执行,则称为XSS
XSS的攻击方式
反射型
反射型XSS,也叫非持久型XSS,是指发生请求时,XSS代码出现在请求URL中,作为参数提交到服务器,服务器解析并响应。响应结果中包含XSS代码,最后浏览器解析并执行。
存储型
存储型XSS,也叫持久型XSS,主要是将XSS代码发送到服务器(不管是数据库、内存还是文件系统等。),然后在下次请求页面的时候就不用带上XSS代码了。
DOM XSS
eval语句引起的DOM攻击
危害
- 通过
document.cookie盗取cookie - 使用
js/css破坏页面正常结构 - 流量劫持
- DOS攻击
- 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作
- 利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
