在学习xss漏洞之前我们先学习一下,什么叫做同源策略。
所谓同源策略指的是,浏览器对不同源的脚本或文本的访问方式进行限制。
在HTML语言中,有部分标签在引用第三方资源时,不受同源策略的限制:
<script>
<img>
<iframe>
<link>
下面我们来说xss漏洞的原理:
跨站脚本攻击(cross site scripting)的缩写,恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的。
xss漏洞发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中,出现了不被预期的脚本指令并执行时,xss就会发生。
ps:xss漏洞通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。
xss漏洞分为三种DOM型,存储型,反射型
DOM型:攻击代码在URL中,输出在DOM节点中
存储型:攻击代码在数据库中,输出在http响应中
反射型:攻击代码在URL中,输出在http响应中
原文:https://www.cnblogs.com/wang1212-/p/8797315.html