XSS简介

跨站脚本攻击,英文全称是Cross Site Script ,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做"XSS"。

XSS攻击,通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的攻击。在一开始,这种攻击演示是跨域的,所有叫做"跨站脚本"。但是发展到今天,由于JavaScript的强大功能以及网站前段应用的复杂化,是否跨域已经不重要。但是由于历史原因,XSS这个名字却一直保留下来。

XSS长期以来被列为客户端web安全中的头号大敌,因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。

那么,什么是XSS呢?看看下面的例子。

假设一个页面把用户输入的参数直接输出到页面上。

php 复制代码
<?php>
$input =$_GET["param"];
echo "<div>".$input."</div>";
?>

在正常情况下,用户向param提交的数据会展示到页面中,比如提交:

php 复制代码
httP://wwww.a.com/
test.php? param=这是一个测试!

输出这是一个测试!

此时查看页面源代码,可以看到:

html 复制代码
<div>这是一个测试!</div>

但是如果提交一段html代码:

html 复制代码
httP://wwww.a.com/
test.php? 
param=<script>alert(/xss/)</script>

会发现,alert(/xss)在当前页面执行了。

相关推荐
LaughingZhu10 分钟前
Product Hunt 每日热榜 | 2026-07-15
前端·人工智能·神经网络·react.js·搜索引擎·前端框架
掘金者阿豪38 分钟前
从Oracle迁到金仓,第一个月踩的最大的坑就是它
前端·后端
AZaLEan__1 小时前
CSS文档流相关:BFC
前端·css
小林ixn1 小时前
Vue3接入DeepSeek流式输出,把“二进制碎片”和“局部热更新”扒个精光
前端·vue.js·人工智能
DavidSu1 小时前
Kotlin协程原理解析
android
2501_912784081 小时前
Taocarts 前端国际化实战:多语言与多币种怎么落地不翻车
前端·多语言·taocarts
悟空瞎说1 小时前
AI 流式对话页面滚动抖动深度优化实战
前端
秋天的一阵风1 小时前
🔥 ECMAScript 2026 来了!使用这些新特性,JS 代码直接少一半
前端·javascript·ecmascript 6
lxysbly1 小时前
Android PS3模拟器下载推荐2026|安卓PS3模拟器哪个好?手机玩PS3游戏指南
android·游戏·智能手机
小堂子这厢有礼了2 小时前
Chet.Admin 权限模型:菜单级 + 按钮级 + 行级三层防护
前端·后端·信息可视化·前端框架·.net