这是我参与【第四届青训营】笔记创作活动第二天

一攻击篇

1.XSS

后果：隐私泄露或者用户设备被利用成挖矿的机器

很难从UI上感知（暗地执行脚本）窃取用户信息（cookie/token）绘制UI（例如弹窗），诱骗用户点击/填写表单

1.存储型XSS攻击----会被存到数据库中，危害是最大的；对全部用户都可见。（所有观看当前页面的用户都会被攻击） 2.反射性XSS攻击不涉及到数据库，只在ull上进行攻击。（仅在浏览器中进行攻击）

以上两种攻击的区别; 3.按浏览器区别进行攻击最难防御的一种攻击方式。

用户收到链接---页面（产生请求使银行页面的请求对接）----有cookie===合法用户的请求

攻击者只需要构造一种HTML表单即可完成各种情况的攻击；

构造sql语句---server运行---用户信息

正则表达式---贪婪模式

可匹配多个a 贪婪：n次不行？n-1次再试试----回溯（ab匹配不上时进行回溯）攻击者可以传入一个导致产生回溯的程序导致设备占用

直接访问用户ip 主要目的就是消耗用户带宽可用于任何接口

将借助于中间人进行攻击（运营商，便宜的路由器）明文传输信息篡改不可知

永远不要相信用户提交的任何内容不要将用户提骄傲的内容直接转化为DOM

XSS----现成工具前端--主动防御DOM