安全篇
??? 跨站腳本攻擊辆床,英文全稱為Cross Site Script说订,在安全領(lǐng)域叫做”XSS”听诸。XSS攻擊坐求,通常指黑客通過”HTML注入”篡改了網(wǎng)頁,插入了惡意的腳本晌梨,從而在用戶瀏覽網(wǎng)頁時桥嗤,控制用戶瀏覽器的一種攻擊。
XSS根據(jù)效果的不同可以分成如下幾種
第一種類型:反射型 XSS
??? 反射型 XSS 只是簡單地把用戶輸入的數(shù)據(jù) “反射”給瀏覽器仔蝌。也就是說泛领,黑客往往需要誘惑用戶“點擊” 一個惡意的鏈接,才能攻擊成功敛惊。反射型XSS也叫做 “非持久型XSS”
第二種類型:儲存型 XSS
??? 儲存型 XSS 會把用戶輸入的數(shù)據(jù) “儲存”在服務(wù)器 渊鞋。這種XSS具有很強的穩(wěn)定性。比較常見的一個場景就是瞧挤,黑客寫下一篇包含有惡意 javaScript 代碼的博客文章锡宋,文章發(fā)表后,所有訪問該博客的文章的用戶皿伺,都會在他們的瀏覽器中執(zhí)行這段惡意的 javaScript 代碼员辩。黑客惡意的腳本保存到服務(wù)器端盒粮,所以這種 XSS攻擊就叫做 ”儲存型 XSS“鸵鸥,儲存型 XSS也叫做 “持久型XSS”。
第三種類型:DOM Based XSS
??? 實際上丹皱,這種類型的XSS 并非按照 ”數(shù)據(jù)是否保存在服務(wù)器端“來劃分妒穴,DOM Based XSS 從效果上來說也是反射型 XSS。單獨劃分出來摊崭,是應(yīng)為 DOM Based XSS 的形成原因比較特別讼油,發(fā)現(xiàn)它的安全專家專門提出了這種類型的XSS。通過修改頁面的 DOM 節(jié)點形成的 XSS 呢簸,稱之為DOM Based XSS矮台。
