名词介绍
XSS攻击(Cross Site Scripting)全称【跨站脚本攻击】是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。当用户浏览该页之时,嵌入其中Web里面的html代码会被执行。
方式一
我们向input 或是其他表单中输入的内容如果会显示在页面上,那么我们就有可能会有xss攻击的风险比如:如果我们向input框中输入的时一串js代码<script>alert("xss")</script>,那就可能会造成
image.png
成功弹窗,这个时候基本上就可以确定存在xss漏洞。
我们在看看源代码
image.png
方式二
xss不仅可以侵入标签体内,显示标签的属性也是存在风险的,例如value的值,通过添加一个闭合">标签来完成,利用的就是html的语法不严谨,容错率高
image.png
