Cross-Site Scripting (xss)

在聊xss之前先讨论下 同源策略核心安全

可以参考这个链接https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

作用:可以阻止第三方的写入或读取信息 xss就在其中访问之内 打个比方最简单的pyload在谷歌是不会生效的

谷歌的浏览器就采用了同源策略所以有的时候不是无效和环境也有关系 然后弹窗1

没有如何过滤 在浏览器眼中会把它当成一个html并执行它 这种情况就被称为xss 刚刚这种情况就叫

反射型xss输入在响应中被反射回来并被识别为一个脚本块然后执行

存储型xss 打出去的javascript代码被存储起来放到服务器中和数据库里面 形成持久化攻击每一个人被访问的人都会被攻击 属于高危...

   存储型xss:可能存在的地方 留言板  评论区 任何可以写入数据的地方都可以 

        dom型xss:修改客户端浏览器的dom环境执行脚本

参考:https://owasp.org/www-community/attacks/DOM_Based_XSS

解决方案 使用dompurify它会清理javascript代码 只留下安全的出去

xss挑战:xss.pwnfunation.com 目前在更新

XSS

相关

XSS BOT编写

3、wxss样式

简单了解WEB漏洞-XSS跨站

XSS 跨站脚本攻击 漏洞

初识XSS攻击

xss防御及绕过-小记1

安全测试---web常规安全漏洞问题介绍和防范说明,如:SQL注入攻击、XSS跨站点脚本攻击(JS注

SpringBoot——防止sql注入,xss攻击

XSS-lab通过教程🐶

XSS Chanllenges 16-19

前端安全之 XSS攻击

xss 防范

标签