安全篇
跨站脚本攻击,英文全称为Cross Site Script,在安全领域叫做”XSS”。XSS攻击,通常指黑客通过”HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
XSS根据效果的不同可以分成如下几种
第一种类型:反射型 XSS
反射型 XSS 只是简单地把用户输入的数据 “反射”给浏览器。也就是说,黑客往往需要诱惑用户“点击” 一个恶意的链接,才能攻击成功。反射型XSS也叫做 “非持久型XSS”
第二种类型:储存型 XSS
储存型 XSS 会把用户输入的数据 “储存”在服务器 。这种XSS具有很强的稳定性。比较常见的一个场景就是,黑客写下一篇包含有恶意 javaScript 代码的博客文章,文章发表后,所有访问该博客的文章的用户,都会在他们的浏览器中执行这段恶意的 javaScript 代码。黑客恶意的脚本保存到服务器端,所以这种 XSS攻击就叫做 ”储存型 XSS“,储存型 XSS也叫做 “持久型XSS”。
第三种类型:DOM Based XSS
实际上,这种类型的XSS 并非按照 ”数据是否保存在服务器端“来划分,DOM Based XSS 从效果上来说也是反射型 XSS。单独划分出来,是应为 DOM Based XSS 的形成原因比较特别,发现它的安全专家专门提出了这种类型的XSS。通过修改页面的 DOM 节点形成的 XSS ,称之为DOM Based XSS。
