概述
xss,“跨站脚本攻击”(Cross Site Scripting)。
分类
- 反射型
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<meta http-equiv="X-UA-Compatible" content="ie=edge" />
<title>Document</title>
</head>
<body>
<a href="http://localhost:3000/?name='<script>alert(/xss/)</script>'"
>点我进入目标网站</a
>
</body>
</html>
- 存储型
主要目的
- 盗取 cookie
- 劫持访问量较大的页面充当肉鸡,发起 ddos 攻击
- 劫持用户登录态进行投票等
防护
- cookie 设置 HttpOnly
- 输入检查 excapeHtml
