课堂笔记 (●’◡’●)

跨站脚本攻击(XSS)

基本上产生都是因为前端js 都有一个输出的特征(数据交互)

危害

网络钓鱼,包括获取各类用户账号;
窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份对网站执行操作;
劫持用户(浏览器)会话,从而执行任意操作,例如非法转账、发表日志、邮件等;
强制弹出广告页面、刷流量等;
网页挂马;
T
进行恶意操作,如任意算改页面信息、删除文章等;
进行大量的客户端攻击,如ddos等;
获取客户端信息,如用户的浏览历史、真实ip、开放端口等;
控制受害者机器向其他网站发起攻击;
结合其他漏洞,如csrf,实施进一步危害;
提升用户权限,包括进一步渗透网站;

DOM&存储核心区别:反射型XSS需服务器返回恶意代码,而DOM型XSS完全由客户端脚本动态生成

cooKie保护机制,获取cookie不完整,