从本质上讲,XSS与SQL注入都是通过构造非法语句,进行窃取非法数据等操作。
XSS的定义
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。
XSS攻击的场景
1.需要有输入脚本代码的文本框,input type="text"。
2.根据输入文本框的内容的处理机制,或被执行数据库操作,或作为参数进行处理。一般情况下,客户端输入的语句都是能够正常使用的,但是恶意用户可能构建特殊的语句(被当作代码),使文本内容在传递和执行过程中起到意向不到的效果,从而获得非法信息。
3.XSS与动态内容有关,涉及JavaScript脚本,Servlet和PHP等。
4.XSS的根本在于浏览器端输入的内容没有经过仔细的检查。
常用的XSS攻击方式
各种XSS攻击的预防