这是我参与「第五届青训营 」伴学笔记创作活动的第 23 天
Web开发安全——攻击篇
一 跨站脚本攻击(XSS)
在我们的开发维护页面中,攻击者通过一种方式把他的恶意脚本注入进来,当用户访问该页面的时候,这些恶意脚本会被执行,进而完成攻击,可能带来用户隐私泄露等后果。
1 XSS利用了哪些方面
- 开发者:盲目信任用户的提交内容
- 前端工程师:把用户提交的string转化为了DOM
2 XSS的特点
- 通常难以从UI上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI(例如弹窗),诱骗用户点击/填写表单
3 XSS的类型
① 存储型XSS(Stored XSS)
② 反射型XSS(Reflected XSS)
在服务端进行注入
③ 基于DOM的XSS(DOM-based XSS)
完全由浏览器这一侧注入
④ Mutation-based XSS
