DEV NOTES

Appearance

浏览器安全

XSS攻击

概念:

跨站脚本攻击,是一种代码注入攻击。攻击者通过网站注入恶意脚本在浏览器上运行,从而盗取用户信息如cookie等。XSS的本质是因为网站没有对恶意代码进行过滤,与正常代码混合在一起了,浏览器无法分辨正常代码和恶意代码。

攻击方式:

  • 获取页面的数据,如DOM、cookie、localStorage
  • DOS攻击,发送合理请求,占用服务器资源,从而使用户无法访问服务器
  • 破坏页面结构
  • 流量劫持,将链接指向其他网站

攻击类型:

XSS可以分为存储型、反射型和DOM型:

  • 存储型指的是恶意脚本会存储在目标服务器上,当浏览器请求数据时,脚本从服务器传回并执行
  • 反射型指的是攻击者诱导用户访问一个带有恶意代码的URL后,服务器端接收数据后处理,然后把带有恶意代码的数据发送到浏览器端,浏览器端解析这段带有XSS代码的数据后当做脚本执行,最终完成XSS攻击
  • DOM型指的是通过修改页面的DOM节点形成的XSS

Copyright © 2024-present Gaoxiaosi