XSS攻击又称跨站脚本攻击,脚本(Script)在我们浏览器客户端被广泛利用,目前大部分网站都利用JavaScript,用来进行打算和管理Cookie等事情。
这些脚本运行在我们本地的客户端上,而不是远程做事器上。
也便是运行在我们本地获取的页面中,我们举一个例子:下面的一串代码便是一个HTML文件里的JavaScript代码。
(在javascript中,document.write(),常用来网页向文档中输出内容)

<html>

<head>

jsp防止xss初识渗入渗出测试黑客盗号的常用手段XSS进击简介 JavaScript

</head>

<body>

<script type=\"大众text/javascript\公众>

document.write(\"大众一方信安\"大众);

</script>

</body>

</html>

JavaScript脚本示例

这个Jsp的脚本代码实行效果跟一个静态HTML页面没有差异,Jsp脚本能够丰富网页内容,提升阅读网页的体验,但是天下上没有绝对安全的系统,漏洞无法避免。
XSS攻击,便是一种对输入没有验证的漏洞。
成功的XSS攻击,须要两个步骤:

1、攻击者提交的脚本实行语句没有被过滤或者删除

2、Web运用返回的数据没有经由编码

客户端提交的数据本来便是运用所须要的,但是XSS攻击脚本代码利用网站对客户端提交数据的信赖,在数据中插入一些符号以及javascript代码,这些代码就会成为原来运用代码的一部分。
而攻击者也就可以布局不同的代码,进行恶意攻击,比如获取你带有上岸账号和密码的Cookie。

XSS跨站脚本攻击紧张有三种形式

反射式XSS

存储式XSS

基于DOM的XSS

危害:

1、盗取各种用户帐号

2、获取用户数据

3、更广泛的蠕虫传播

4、网站挂马

5、掌握受害者机器向其它网站发起攻击

有很多小伙伴比较喜好这方面的内容,想要进行深入的学习,