XSS注入（cross site scripting）

一、什么是xss：

客户端攻击，受害者是用户，但是管理员也是用户之一，意味着可以进行“服务端攻击”       攻击者在网页中嵌入客户端代码，通常是javascript编写的危险代码

xss出现的原因：程序输入和输出控制的不严格（输入没过滤 输出没编码，有输入没有输出XSS执行不了，必须同时满足。）导致“精心构造”的脚本输入后，在输入到前端时被浏览器当做有效代码解析执行，从而产生危害

二、xss的危害：

1、劫持用户cookie

2、框架钓鱼

3、挂马

4、键盘记录

万能构造：'">代表插入任意代码   可以加一个弹窗  能弹出来就是XSS漏洞

三：xss分类：

1、反射型（中危漏洞）；交互的数据不会存储在数据里，只是把用户输入的数据反射给浏览器，一次性，所见所得

在控制台里 选择到你要改的这个input标签, 双击标签属性就能重新赋值了

2、存储型（高危）：交互的数据会被存储在数据库里，永久性存储，有很强的稳定性

任何人点，都会触发他的XSS，输入以后下次再点进去还会有

DOM型（低危漏洞）：不与后台服务器产生数据交互，通过前端的dom节点形成的XSS漏洞

onclick点击事件

what do you see?