XSS漏洞(跨站脚本攻击)

一、XSS介绍

XSS(Cross Site Scripting)中文名为“跨站脚本攻击”，它与层叠样式表CSS(Cascading StyleSheets)的缩写混淆。因此，将跨站脚本攻击缩写为XSS。

二、漏洞危害

XSS攻击，通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

三、XSS分类

• 反射型(又称非持续性)
• 存储型(又称持续性)
• DOM型

3.1 反射型

反射型XSS，又称非持续性XSS，这种攻击不是持续的，简单点来说，它是一次性的，它的原理是在发生GET请求的时候，会把payload存放在URL中，用户点击带有恶意参数的URL请求到到指定服务器，且WEB应用并没有对恶意代码进行适当的过滤，用户接受返回数据，浏览器解析触发代码，造成漏洞执行，此类型漏洞一般存在于搜索框里。