XSS简介

跨站脚本攻击,英文全称是Cross Site Script ,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做"XSS"。

XSS攻击,通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的攻击。在一开始,这种攻击演示是跨域的,所有叫做"跨站脚本"。但是发展到今天,由于JavaScript的强大功能以及网站前段应用的复杂化,是否跨域已经不重要。但是由于历史原因,XSS这个名字却一直保留下来。

XSS长期以来被列为客户端web安全中的头号大敌,因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。

那么,什么是XSS呢?看看下面的例子。

假设一个页面把用户输入的参数直接输出到页面上。

php 复制代码
<?php>
$input =$_GET["param"];
echo "<div>".$input."</div>";
?>

在正常情况下,用户向param提交的数据会展示到页面中,比如提交:

php 复制代码
httP://wwww.a.com/
test.php? param=这是一个测试!

输出这是一个测试!

此时查看页面源代码,可以看到:

html 复制代码
<div>这是一个测试!</div>

但是如果提交一段html代码:

html 复制代码
httP://wwww.a.com/
test.php? 
param=<script>alert(/xss/)</script>

会发现,alert(/xss)在当前页面执行了。

相关推荐
天平7 小时前
油猴脚本创建webworker踩坑记录
前端·javascript·typescript
原则猫9 小时前
前端基础大厦
前端
alexhilton9 小时前
将应用迁移到Navigation 3:痛点、加班和紧急修复
android·kotlin·android jetpack
陈随易10 小时前
编程语言级别的Skill市场,AI Agent 的未来形态
前端·后端·程序员
SoaringHeart11 小时前
Flutter进阶:基于 EasyRefresh 的下拉刷新封装 n_easy_refresh_mixin.dart
前端·flutter
IT_陈寒13 小时前
Vite的热更新突然不香了,排查三小时差点砸键盘
前端·人工智能·后端
子兮曰13 小时前
Agency-Agents 深度解析:400+ AI 专家的"梦之队"如何重塑开发工作流
前端·后端·vibecoding
竹林81814 小时前
用 The Graph 查询链上数据实战:从手搓 RPC 到 Subgraph,我的 NFT 项目数据加载快了 10 倍
前端·javascript
妙码生花14 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十九):点选验证码代码逐行目检
前端·后端·go
Awu122715 小时前
⚡从零开发 Agent CLI(五)实现一个可治理、可扩展的工具系统
前端·人工智能·claude