版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/fujian9544/article/details/89645507
XSS危害
盗号 转账 挂马 篡改系统信息
盗号
方法
document.cookie进行获取cookie(各种信息的cookie)
可以通过httponly 标记登录cookie 标记之后此方法可以禁用js操作登录标记之后的cookie
登陆过程
1.服务器
用户提交用户名与密码值服务器
服务器拿到用户名与密码后 做对应的校验
一致的话 生成一个session文件 session文件会保存用户登录的信息
Session文件会被服务器产生一个session名字字符串
2.浏览器
在给浏览器的反馈中 会携带这个字符串session_id
浏览器拿到这个字符串 存存储在cookies当中
3.下一次
浏览器下一次给服务器发送信息的时候 就会携带cookies
服务器会根据cookie当中的字符串session_id查找服务器中的文件信息
服务器就返回已登录的页面 没有的话 就返回未登录的页面
4.盗号
可以根据获取的cookie进行盗号登录
非法转账
JS设置值
document.getElementById("#name").value()="name";
注入到JS页面
这就用到了反射型XSS