xss
xss, 即為(cross site scripting), 中文名為跨站指令碼(不使用css縮寫是為了與層疊樣式表區分)。是發生在目標使用者的瀏覽器層面上的,當渲染dom樹的過程成執行了不在預期內的js**時,就發生了xss攻擊。
xss分為反射型xss,儲存型xss和dom xss
(1)反射型xss:xss**放在url中,作為引數提交到伺服器。伺服器解析後,作為響應結果傳送給瀏覽器,最終通過瀏覽器的解析執行。
(2)儲存型xss:xss**存放在伺服器中,主要是在第一次請求網頁後會將xss**儲存在伺服器中,下次再次訪問同一網頁時直接從伺服器獲取xss**。
(3)dom xss:主要是利用瀏覽器端的**漏洞,例如window.eval()
>
>
head
>
>
'div'
>
div>
onchange
='test()'
/>
>
function
test()
script
>
body
>
html
>
xss攻擊1xss攻擊2
web安全之xss攻擊
xss攻擊的全稱是cross site scripting xss 攻擊,是一種注入式攻擊。基本的做法是把惡意 注入到目標 由於瀏覽器在開啟目標 的時候並不知道哪些指令碼是惡意的,所以瀏覽器會無差別執行惡意指令碼,從而導致使用者資訊和一些敏感資訊被盜取和洩漏。xss一般分為兩種型別,持久化的xss和...
web安全(xss攻擊和csrf攻擊)
1 csrf攻擊 csrf cross site request forgery 跨站請求偽造。1 攻擊原理 如上圖,在b 引誘使用者訪問a 使用者之前登入過a 瀏覽器 cookie 快取了身份驗證資訊 通過呼叫a 的介面攻擊a 2 防禦措施 1 token驗證 登陸成功後伺服器下發token令牌存...
Web安全 XSS指令碼注入攻擊
好久不發文章,我表示 我還活著。只不過最近在寫git books,所以忽略了我的這個部落格。這兩天在看web安全相關的東西,覺得確實有意思。xss 意為跨站指令碼攻擊 cross site scripting 縮寫應該是css,但是已經有了乙個層疊樣式表 cascading style sheets...