xss漏洞
1.xss概述
2. XSS 原理3. XSS 攻击类别
1.反射型XSS
2.存储类型XSS3、DOM类型XSS 4.防御方法
一、xss简介
XSS 的正式名称是Cross Site Scripting,以区别于Cascading Style Sheets (CSS) 的缩写。跨站脚本攻击的本质是攻击者向Web 中注入恶意脚本代码。页面(此代码可能是JS 脚本、CSS 样式或其他意外代码)。当用户查看某个页面时,就会执行该页面中嵌入的脚本代码,从而达到恶意攻击用户的目的。
二、xss原理
HTML是一种超文本标记语言,浏览器显示的所有页面都是用HTML编写的,浏览器可以插入JavaScript脚本代码对页面进行特殊处理。用户的浏览器错误地认为已经插入了HTML标签,并且这些脚本程序在用户的浏览器内执行。因此,如果不过滤这些特殊字符或者出现检查错误,就会出现XSS漏洞。
三、xss攻击类别
可以分为3类
反射存储DOM类型
1、反射型XSS
当发出请求时,URL中出现XSS代码,服务器解析并响应,最后浏览器解析并执行。 XSS 代码。
流程图:
让我们举个例子:
这是一个含有xss的网页。接下来,通过在输入框中输入js脚本代码来测试脚本是否运行。
#通常输入以下代码之一
scriptalert(/xss/)/script //提示框弹窗
scriptconfirm(\’xss\’)/script //确认框弹出窗口
scriptprompt(\’xss\’)/script //输入框弹出窗口
#这些代码简单,效果明显
点击“测试”并提交数据后,您将看到您输入的js被执行,并弹出提示框。
从URL中可以看到,输入的值被组合到URL中,作为参数传递给后端,经过钩子处理,然后返回到页面由浏览器解析。要执行的脚本。
源代码:
一、网安学习成长路线图
将网络安全各个方向的技术点归纳为各个领域知识点的总结,方便按照以上知识点找到对应的学习资源,进行更全面的学习。
二、网安视频合集
观看零基础学习视频观看视频很容易上手,按照视频中老师的思路从基础到细节。
三、精品网安学习书籍
当基础知识学到一定程度,有了一定的理解程度后,就可以看前辈编的书或者手写的笔记。这些注释提供了比较独特的理解。我有不同的思考方式。
四、网络安全源码合集+工具包
光学理论是没有用的,所以你必须进行相应的练习,才能将所学的知识运用到实践中。
五、网络安全面试题
最后是大家最关心的一段网络安全面试题。
#以上XSS漏洞类型原理及防御方法相关内容来源_三类XSS漏洞防护仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92158.html