xss發(fā)生原理

xss就是跨站腳本攻擊，造成這種漏洞存在的根本原因是開發(fā)者的安全意識(shí)不夠而留下的漏洞，使得用戶可以直接在頁面提交代碼，并且執(zhí)行，從而獲取到用戶權(quán)限，cookie等危害，xss攻擊一般危害的是網(wǎng)站的用戶，而不是網(wǎng)站，xss的危害性在所有web漏洞威脅性排名第二，僅次于sql注入，68%的網(wǎng)站可能存在xss攻擊。

xss威力有多大？

1、利用iframe、frame欺騙用戶進(jìn)行操作，甚至能導(dǎo)致網(wǎng)銀被盜。

2、訪問頁面大的xss漏洞，可以用特殊的代碼，讓用戶幫助你ddos攻擊其他網(wǎng)站。

3、盜取cookie，從而登錄其他用戶賬號(hào)，導(dǎo)致賬號(hào)泄露。

XSS攻擊的類型

從攻擊代碼的工作方式可以分為三個(gè)類型：

（1）持久型跨站：最直接的危害類型，跨站代碼存儲(chǔ)在服務(wù)器（數(shù)據(jù)庫）。

（2）非持久型跨站：反射型跨站腳本漏洞，最普遍的類型。用戶訪問服務(wù)器-跨站鏈接-返回跨站代碼。

（3）DOM跨站（DOM XSS）：DOM（document object model文檔對(duì)象模型），客戶端腳本處理邏輯導(dǎo)致的安全問題。

整合自：小風(fēng)教程網(wǎng)、百度百科

編輯：jq