深入理解XSS 和 CSRF
一、XSS,即 Cross Site Script,中译是跨站脚本攻击;其本来缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因此在安全领域叫做 XSS。
XSS 攻击是指攻击者在网站上注入恶意的用户端代码,通过恶意脚本对用户端网页进行篡改,从而在使用户浏览网页时,对使用户浏览器进行控制或者者获取使用户隐私数据的一种攻击方式。攻击者对用户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。
有很多种方式进行 XSS 攻击,但它们的共同点为:将少量隐私数据像 cookie、session 发送给攻击者,将受害者重定向到一个由攻击者控制的网站,在受害者的机器上进行少量恶意操作。XSS攻击可以分为3类:反射型(非持久型)、存储型(持久型)、基于DOM。
1、反射型
反射型 XSS 只是简单地把使用户输入的数据 “反射” 给浏览器,这种攻击方式往往需要攻击者诱用户点击一个恶意链接,或者者提交一个表单,或者者进入一个恶意网站时,注入脚本进入被攻击者的网站。
看一个示例。我先准备一个如下的静态页:
说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » 深入理解XSS 和 CSRF
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » 深入理解XSS 和 CSRF