一.XSS 的分类
1.持久型
1)反射型跨站脚本也称为非持久型、参数型跨站脚本。主要用于将恶意脚本附加到url地址的参数中。例如:http://www.qiqianmao.com/index.php?id=">
2)反射型xss会诱导用户去访问一个包含恶意代码的url,当用户访问这些连接的时候,恶意的js代码会直接在受害者的浏览器上执行,他的特点是只在用户单击时触发,而且只执行一次,非持久化。
3)经常出现在网站的搜索栏、用户登入口,常用来获取客户端的cookie或者进行钓鱼欺骗。
4)对于恶意代码有时候会暴露给用户,因此我们可以通过各种绕过手段。可以用十进制、十六进制等各种编码形式进行加密。
2.持久型
1)持久型跨站脚本也等于储存型跨站脚本。
2)一般会出现在网站的留言、评论、博客日志等交互处。恶意脚本被储存在客户端或者服务器的数据库中,当其他用户浏览该网页的时候,站点即从数据库中读取恶意用户存入的非法数据(非法数据就是恶意的代码只不过是被储存在后台的数据库当中),然后显示在页面当中,即在受害者的主机上的浏览器执行恶意代码。