XSS漏洞原理 : XSS又叫CSS(cross Site Script), 跨站脚本攻击,指的是恶意攻击者往Web页面里插入恶意JS代码,当用户浏览该页时,嵌入其中的Web里的JS代码就会被执行,从而达到恶意的特殊目的.
比如:拿到cooike
XSS漏洞分类:
-
反射性(非存储型)
payload没有经过存储,后端接收后,直接输出到页面上,从get请求传进去,直接输出在页面上 -
存储型:(存储取出)
payload存到了数据库或者其他介质(文件,缓存…)中,当管理员或用户请求时,会展示在页面上 -
DOM型
类似反射型,不同的是,前端拿到JS代码,不用经过后端,就造成一个XSS
XSS漏洞修复方法:
- HTML实体编码
- 白名单过滤输入的恶意字符,只保留自己用的语句
- 根据实际情况
