整理常见的三种XSS攻击类型

什么是XSS?
简单的说就是没有做好校验，因为前端的用户输入的数据别人可以拦截，然后嵌入一些脚本代码或者其它的而达到不良的结果，有点类似与sql注入的攻击。
百科的一段介绍：
XSS又叫CSS (Cross Site Script)
，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。
常见的三种XSS攻击类型
1.反射型：
一般来说这种类型的XSS，需要攻击者提前构造一个恶意链接，来诱使客户点击，比如这样的一段链接：
www.abc.com/?params=<script>alert(/xss/)</script>。
2.存储型：

这种类型的XSS，危害比前一种大得多。比如一个攻击者在论坛的楼层中包含了一段JavaScript代码，并且服务器没有正确进行过滤输出，那就会造成浏览这个页面的用户执行这段JavaScript代码。
3.DOMXSS：
这种类型则是利用非法输入来闭合对应的html标签。
比如，有这样的一个a标签：<a href='$var'></a>
乍看问题不大，可是当$var的内容变为 ’ onclick=’alert(/xss/) //，这段代码就会被执行。

由于最近的做的项目涉及到这个知识，整理一下，留待之后复习，理解的还不是很透彻，部分摘自网络。

• « 上一篇：为什么诺贝尔奖得主很少有中国人?
• » 下一篇：工作4年后的一些思考