xss攻击

xss攻击简介

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。
常用的XSS攻击手段和目的有：
1、盗用cookie，获取敏感信息。
2、利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。
3、利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作。
4、利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。
5、在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。

xss的攻击类型

（1）存储型
（2）反射型
（3）DOM型
1.存储型xss的攻击原理
攻击者在页面上插入xss代码，服务器将数据存入数据库，当用户访问到存在xss漏洞的页面时，服务端从数据库中取出数据展示到页面，导致xss代码执行，达到攻击效果。
2.反射型
攻击者在URL中插入XSS代码，服务端将URL中的XSS代码输出到页面上，攻击者将带有XSS代码的URL发送给用户拥护打开后受到XSS攻击.
3.DOM型

攻击者在URL中插入XSS代码，前端页面直接从URL获取XSS代码并且输出到页面上，导致XSS代码的执行攻击者将带有XSS代码的URL发送给用户，用户打开后受到XSS攻击.

xss练习

<script>alert(1)</script>
<script>alert(2)</script>

"><script>alert(1)</script>