为什么叫XSS?
跨站脚本(cross site script)为了避免和样式css混淆,故简称xss。
XSS是什么?
xss是一种经常出现在web应用中的计算机安全漏洞,也是最主流的攻击方式。
xss是指恶意攻击者利用网站没有对用户提交的数据进行转义处理或过滤不足的缺点,进而添加一些代码,嵌入到web页面中去;使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行某些动作或者对访问者进行病毒侵害的一种攻击方式。
xss攻击的危害有哪些?
1.盗取各类用户账号;如:机器登录账号、用户网银账号、各类管理员账号...
2.控制企业数据;包括读取、篡改、添加、删除企业敏感数据能力
3.盗窃企业具有商业价值的重要资料
4.非法转账
5.强制发送电子邮件
6.网站挂马
7.控制受害者机器向其他网站发起攻击
为什么会出现xss攻击?
主要原因是:过于信任客户端提交的数据
xss根源就是没完全过滤客户端提交的数据
细节分析:客户端提交的数据本就是应用需要的,但是恶意攻击者利用网站对客户端提交的数据的信任,在数据中插入一些符号以及js代码,那这些数据将会成为应用代码中的一部分,进而攻击者就可以进行攻击。
怎么避免出现xss攻击?
不要信任任何客户端提交的数据;只要是客户端提交的数据信息都应该先做过滤处理再进行下一步操作。
xss攻击分类(稍微了解即可)
1.反射型xss攻击
2.存贮型xss攻击
3.DOMBasedXSS(基于dom的跨站点脚本攻击)
本文只对xss攻击做简单的介绍,具体细节可参考这位大神的博文:https://www.cnblogs.com/phpstudy2015-6/p/6767032.html