网络安全基础--第五课：跨站脚本攻击XSS - 实践

一、XSS漏洞分类及原理

XSS（Cross Site Scripting）

---

简单表示Web分层结构

跨站脚本攻击(Cross Site Script)是一种常见的 Web 应用程序安全漏洞，它重要是指攻击者在 Web 页面中插入恶意脚本代码，当受害者访问这些页面时，浏览器会解析并执行这些恶意代码，被用于进行窃取隐私、钓鱼欺骗、窃取 Cookie、会话劫持等攻击。

成因:对用户输入没有严格过滤;提交给服务器的脚本直接返回给其他客户端执行

JavaScript:是可插入 HTML 页面的由浏览器执行的轻量级，解释型或即时编译型的编程语言，是使用最广的客户端脚本语言。
使用场景:

直接嵌入 Html:<script>alert('Xss');</script>

元素标签事件:<bodyοnlοad=alert('xss')>

图片标签:<imgsrc="javascript:alert('xSs');">

其他标签:<iframe>, <div>, and <link>

DOM对象，篡改页面内容

---

XSS攻击流程