XSS有哪几种类型

江小悠 29 0

反射型XSS(也叫非持久型):恶意JavaScript脚本属于用户发送给网站请求中的一部分,随后网站又将这部分返回给用户,恶意脚本在页面中被执行。一般发生在前后端一体的应用中,服务端逻辑会改变最终的网页代码。

基于DOM的XSS:这种攻击不需要经过服务器,网页本身的JavaScript也是可以改变HTML的,黑客正是利用这一点来实现插入恶意脚本。

存储型XSS(也叫持久型XSS):黑客将恶意 JavaScript脚本长期保存在服务端数据库中,用户一旦访问相关页面数据,恶意脚本就会被执行。常见于搜索、微博、社区贴吧评论等

区别:反射型的XSS的恶意脚本存在URL里,存储型SS的恶意代码存在数据库里。而基于DOM型的XSS攻击中,取出和执行恶意代码由浏览器端完成于前端 JavaScript自身的安全漏洞,其他两种XSS都属于服务端的安全漏

发表评论 取消回复
表情 图片 链接 代码

分享