XSS攻击原理是什么，有哪些类型？-群英

上一篇：怎样做好csrf防御？这三方面要注意下一篇：常见web安全隐患有什么，怎么样处理？

这篇文章给大家介绍的是关于XSS攻击的相关内容，下文会介绍XSS攻击原理及类型，了解XSS攻击对做好相应的防御会有一定的帮助，因此，接下来一起跟随小编看看吧。

XSS又称为CSS，全称为Cross-site script，跨站脚本攻击，为了和CSS层叠样式表区分所以取名为XSS，是Web程序中常见的漏洞。

原理：

攻击者向有 XSS 漏洞的网站中输入恶意的 HTML 代码，当其它用户浏览该网站时候，该段 HTML 代码会自动执行，从而达到攻击的目的，如盗取用户的 Cookie，破坏页面结构，重定向到其它网站等。

例如：某论坛的评论功能没有对 XSS 进行过滤，那么我们可以对其进行评论，评论如下：

<script>
while(true) {
    alert('你关不掉我');
}
</script>

在发布评论中含有 JS 的内容文本，这时候如果服务器没有过滤或转义掉这些脚本，作为内容发布到页面上，其他用户访问这个页面的时候就会运行这段脚本。

这只是一个简单的小例子，恶意着可以将上述代码修改为恶意的代码，就可以盗取你的 Cookie 或者其它信息了。

XSS 类型：

一般可以分为：持久型 XSS 和非持久性 XSS

1、持久型 XSS 就是对客户端攻击的脚本植入到服务器上，从而导致每个正常访问到的用户都会遭到这段 XSS 脚本的攻击。(如上述的留言评论功能)

2、非持久型 XSS 是对一个页面的 URL 中的某个参数做文章，把精心构造好的恶意脚本包装在 URL 参数重，再将这个 URL 发布到网上，骗取用户访问，从而进行攻击

非持久性 XSS 的安全威胁比较小，因为只要服务器调整业务代码进行过滤，黑客精心构造的这段 URL 就会瞬间失效了，而相比之下，持久型 XSS 的攻击影响力很大，有时候服务端需要删好几张表，查询很多库才能将恶意代码的数据进行删除。

关于“XSS攻击原理是什么，有哪些类型”就介绍到这了，希望对大家做好防御有帮助。最后，想要了解更多XSS攻击的内容，大家可以关注群英网络其它相关文章。

文本转载自PHP中文网

标签： XSS攻击原理

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

上一篇：怎样做好csrf防御？这三方面要注意下一篇：常见web安全隐患有什么，怎么样处理？