1. 首页
  2. 问答百科
  3. 正文

XSS攻击的原理是什么?

  XSS又称为CSS,全称为Cross-site script,跨站脚本攻击,为了和CSS层叠样式表区分所以取名为XSS,是Web程序中常见的漏洞。

  原理:

  攻击者向有 XSS 漏洞的网站中输入恶意的 HTML 代码,当其它用户浏览该网站时候,该段 HTML 代码会自动执行,从而达到攻击的目的,如盗取用户的 Cookie,破坏页面结构,重定向到其它网站等。

  例如:某论坛的评论功能没有对 XSS 进行过滤,那么我们可以对其进行评论,评论如下:


  在发布评论中含有 JS 的内容文本,这时候如果服务器没有过滤或转义掉这些脚本,作为内容发布到页面上,其他用户访问这个页面的时候就会运行这段脚本。

  这只是一个简单的小例子,恶意着可以将上述代码修改为恶意的代码,就可以盗取你的 Cookie 或者其它信息了。

  XSS 类型:一般可以分为:持久型 XSS 和非持久性 XSS

  1、持久型 XSS 就是对客户端攻击的脚本植入到服务器上,从而导致每个正常访问到的用户都会遭到这段 XSS 脚本的攻击。(如上述的留言评论功能)

  2、非持久型 XSS 是对一个页面的 URL 中的某个参数做文章,把精心构造好的恶意脚本包装在 URL 参数重,再将这个 URL 发布到网上,骗取用户访问,从而进行攻击

  非持久性 XSS 的安全威胁比较小,因为只要服务器调整业务代码进行过滤,黑客精心构造的这段 URL 就会瞬间失效了,而相比之下,持久型 XSS 的攻击影响力很大,有时候服务端需要删好几张表,查询很多库才能将恶意代码的数据进行删除。

    延伸阅读

  • 律师网站建设

    在数字化时代,网站作为企业与个人品牌建立在线存在的关键,对律师和法律事务所而言尤为重要。那么,如何构建一个既专业又能吸引目标客户的律师网站呢?这篇文章将深入探讨构建专业律师网站...

  • 打造个性化服装网站建设的全面指南

    在数字时代,服装品牌如何在竞争激烈的市场中脱颖而出?答案可能就隐藏在一款充满吸引力、功能全面的服装网站建设中。一个成功的服装网站不仅需要展示产品,更要传达品牌故事,吸引目标客户...

  • 引领数字创新:探索上海的高端网站建设公司

    在数字化时代的浪潮中,一个高品质的网站对于企业而言不仅是其品牌形象的展示窗口,更是连接客户、拓展市场的重要桥梁。那么,在众多网站建设公司中,上海的高端网站建设公司又是如何脱颖而...

  • 如何制作网站?网站建设的10个关键步骤

    拥有一个美观优雅、体验良好的网站,不仅是现代公司的形象工程,更是企业获取客户、服务客户最直接高效的媒介。网站建设是极其专业的工作,需要前期策划、设计界面、开发程序和维护优化等专...

  • 《打造专属游戏王国:游戏网站建设全攻略》

    在数字时代,游戏已成为一种文化现象,深受全球用户的喜爱。随之而来的是对游戏网站的巨大需求,这些网站不仅提供游戏本身,还围绕游戏创建了一个互动社区。那么,如何建设一个既吸引玩家又...

本文来自投稿,不代表本人立场,如若转载,请注明出处:http://lnbdc.com/article/1694.html

(function(){ var src = (document.location.protocol == "http:") ? "http://js.passport.qihucdn.com/11.0.1.js?1d7dde81dc0903e04d3ac0b9599444f6":"https://jspassport.ssl.qhimg.com/11.0.1.js?1d7dde81dc0903e04d3ac0b9599444f6"; document.write('<\/mip-script>'); })(); (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();