XSS简介

跨站脚本攻击,英文全称是Cross Site Script ,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做"XSS"。

XSS攻击,通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的攻击。在一开始,这种攻击演示是跨域的,所有叫做"跨站脚本"。但是发展到今天,由于JavaScript的强大功能以及网站前段应用的复杂化,是否跨域已经不重要。但是由于历史原因,XSS这个名字却一直保留下来。

XSS长期以来被列为客户端web安全中的头号大敌,因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。

那么,什么是XSS呢?看看下面的例子。

假设一个页面把用户输入的参数直接输出到页面上。

php 复制代码
<?php>
$input =$_GET["param"];
echo "<div>".$input."</div>";
?>

在正常情况下,用户向param提交的数据会展示到页面中,比如提交:

php 复制代码
httP://wwww.a.com/
test.php? param=这是一个测试!

输出这是一个测试!

此时查看页面源代码,可以看到:

html 复制代码
<div>这是一个测试!</div>

但是如果提交一段html代码:

html 复制代码
httP://wwww.a.com/
test.php? 
param=<script>alert(/xss/)</script>

会发现,alert(/xss)在当前页面执行了。

相关推荐
不简说11 分钟前
JS 代码技巧 vol.5 — 10 个错误处理套路,从 try/catch 到 Error Boundary
前端·javascript·程序员
wordpress资料库14 分钟前
Next.js更适合移动开发 不适合web开发
开发语言·前端·javascript·next.js
卷无止境23 分钟前
Quarkdown:赋予 Markdown 超能力的现代排版系统
前端·markdown
木易 士心30 分钟前
深度解析 Android 音频焦点处理与实战开发
android·音视频
BerryS3N1 小时前
C++23新特性在CLion中的实战体验:从语法糖到生产力提升
前端·c++23
祉猷并茂,雯华若锦1 小时前
Appium 3.x安卓APP企业级安装实战
android·appium
申君健24864182772021 小时前
# WebGPU 的渲染原理与 Shader
前端
随风123weber2 小时前
从前端响应式到后端背压:深度拆解生成式 UI(Generative UI)
前端
用户059540174462 小时前
用 Pytest 接管大模型记忆存储测试,状态一致性问题减少 90%
前端·css
IT_陈寒2 小时前
JavaScript的异步地狱里,我的Promise掉进了微任务陷阱
前端·人工智能·后端