一、什么是xss:
客户端攻击,受害者是用户,但是管理员也是用户之一,意味着可以进行“服务端攻击” 攻击者在网页中嵌入客户端代码,通常是javascript编写的危险代码
xss出现的原因:程序输入和输出控制的不严格(输入没过滤 输出没编码,有输入没有输出XSS执行不了,必须同时满足。)导致“精心构造”的脚本输入后,在输入到前端时被浏览器当做有效代码解析执行,从而产生危害
二、xss的危害:
1、劫持用户cookie
2、框架钓鱼
3、挂马
4、键盘记录
万能构造:'"><script>alert(123)</script>代表插入任意代码 可以加一个弹窗 能弹出来就是XSS漏洞
三:xss分类:
1、反射型(中危漏洞);交互的数据不会存储在数据里,只是把用户输入的数据反射给浏览器,一次性,所见所得
在控制台里 选择到你要改的这个input标签, 双击标签属性就能重新赋值了
2、存储型(高危):交互的数据会被存储在数据库里,永久性存储,有很强的稳定性
任何人点,都会触发他的XSS,输入以后下次再点进去还会有
DOM型(低危漏洞):不与后台服务器产生数据交互,通过前端的dom节点形成的XSS漏洞
onclick点击事件
<a href='#' onclick="alert(2222)">what do you see?</a>
