250303——XSS漏洞（一）

一、内容概括

    1、XSS漏洞原理；
    2、三种类型的XSS漏洞。


二、重要知识和细节
    1、XSS漏洞原理：用户输入的内容被当作 js 代码执行；
    2、DOM型XSS漏洞：通过操纵DOM环境，导致客户端代码在解析时执行了非预期的恶意代码，特点是只执行一次且不涉及服务端响应；
    3、反射型XSS漏洞：通过操作传参，服务器将恶意代码的结果反射回用户的浏览器并执行，特点是只执行一次但涉及服务端响应；
    4、存储型XSS漏洞：通过操作传参，将恶意代码存储在服务端，任何用户访问时都会触发并返回结果，特点是可以触发很多次。


三、实操和作业

1、什么是xss？

XSS：是跨站脚本攻击。是一种常见的网络安全漏洞，攻击者通过向网页注入恶意脚本（通常是JavaScript），使得其他用户在浏览该页面时执行这些脚本。

2、xss危害？

·窃取用户数据

·劫持用户操作

·传播恶意软件

·破坏页面内容

3、xss有几种类型？

三种。DOM型、反射型、存储型。

4、什么是反射性xss？

恶意代码通过URL参数传递，由服务端“反射”到响应中，不存储在服务器上。

5、什么是DOM型xss？

纯前端漏洞，恶意代码由浏览器端的JavaScript动态生成，不依赖服务端响应。

6、什么是存储型xss？

恶意代码被永久存储在服务器，所有访问者都会触发。