XSS漏洞原理-Toy模板网

这篇具有很好参考价值的文章主要介绍了XSS漏洞原理。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

XSS原理

XSS又叫CSS(Cross Site Script)，跨站脚本攻击。因为与html中的css样式同，所以称之为XSS。
在OWASP top10，2013年度中排第三名，在OWASP top 10， 2017年度中排第7名。属于web应用中计算机安全漏洞，是恶意的web访问者将脚本植入到提供给用户使用的页面中，通常是使用JavaScript编写的危险代码，当用户使用浏览器访问页面时，脚本会被执行，从而达到攻击者目的。
XSS攻击最终目的是在网页中嵌入客户端恶意代码，最常用的攻击代码是JavaScript语言，但也会使用其他的脚本语言，例如:ActionScript、VBScript。而如今的互联网客户端脚本基本上是基于JavaScript，所以如果想要深入研究xss，必须要精通JavaScript。
xss换句话说，JavaScript能够到什么效果，xss的胃里就有多大。这完全不是危言耸听。JavaScript可以用于获取用户的cookie，弹出窗口，那么存在xss漏洞的网站，xss就可以用来盗取用户cookie，废掉页面，导航到恶意网站!更高端的xss代码完全可以进行监控你的键盘操作，模仿windows注销界面，诱导你输入开机密码!而攻击者需要做的仅仅是向你的代码中注入JavaScript代码!
XSS 的本质是:恶意代码未经过滤，与网站正常的代码混在一起；浏览器无法分辨哪些脚本是可信的，导致恶意脚本被执行。
而由于直接在用户的终端执行，恶意代码能够直接获取用户的信息，或者利用这些信息冒充用户向网站发起攻击者定义的请求。
在部分情况下，由于输入的限制，注入的恶意脚本比较短。但可以通过引入外部的脚本，并由浏览器执行，来完成比较复杂的攻击策略。