XSS简介

跨站脚本攻击,英文全称是Cross Site Script ,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做"XSS"。

XSS攻击,通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的攻击。在一开始,这种攻击演示是跨域的,所有叫做"跨站脚本"。但是发展到今天,由于JavaScript的强大功能以及网站前段应用的复杂化,是否跨域已经不重要。但是由于历史原因,XSS这个名字却一直保留下来。

XSS长期以来被列为客户端web安全中的头号大敌,因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。

那么,什么是XSS呢?看看下面的例子。

假设一个页面把用户输入的参数直接输出到页面上。

php 复制代码
<?php>
$input =$_GET["param"];
echo "<div>".$input."</div>";
?>

在正常情况下,用户向param提交的数据会展示到页面中,比如提交:

php 复制代码
httP://wwww.a.com/
test.php? param=这是一个测试!

输出这是一个测试!

此时查看页面源代码,可以看到:

html 复制代码
<div>这是一个测试!</div>

但是如果提交一段html代码:

html 复制代码
httP://wwww.a.com/
test.php? 
param=<script>alert(/xss/)</script>

会发现,alert(/xss)在当前页面执行了。

相关推荐
忧郁的蛋~15 分钟前
HTML表格导出为Excel文件的实现方案
前端·html·excel
小彭努力中16 分钟前
141.在 Vue 3 中使用 OpenLayers Link 交互:把地图中心点 / 缩放级别 / 旋转角度实时写进 URL,并同步解析显示
前端·javascript·vue.js·交互
然我36 分钟前
别再只用 base64!HTML5 的 Blob 才是二进制处理的王者,面试常考
前端·面试·html
NanLing38 分钟前
【纯前端推理】纯端侧 AI 对象检测:用浏览器就能跑的深度学习模型
前端
呆呆的心40 分钟前
前端必学:从盒模型到定位,一篇搞定页面布局核心 🧩
前端·css
小飞悟40 分钟前
前端高手才知道的秘密:Blob 居然这么强大!
前端·javascript·html
小old弟40 分钟前
用Sass循环实现炫彩文字跑马灯效果
前端
code_YuJun41 分钟前
Promise 基础使用
前端·javascript·promise
Codebee41 分钟前
OneCode自主UI设计体系:架构解析与核心实现
前端·javascript·前端框架
断剑重铸之日43 分钟前
Android自定义相机开发(类似OCR扫描相机)
android