XSS 学习笔记（源码分析）

XSS 学习笔记 源码分析

XSS 简介

XSS 攻击指黑客通过特殊的手段对网页中插入了恶意的JavaScript脚本，从而在用户浏览网页时，对用户浏览器发起Cooike资料窃取，会话劫持、钓鱼欺骗等各种攻击。
XSS 跨站脚本攻击本身对Web服务器没有直接危害，他借助网站进行传播，使网站的大量用户受到攻击。攻击者一般通过留言、电子邮件或其他途径向受害者发送一个精心构造的恶意URL,当受害者在Web浏览器中打开URL的时候，恶意脚本会在受害者的计算机上悄悄运行。

XSS 漏洞出现的原因如下：

• Web浏览器本身设计不安全，无法判断JS代码是否是恶意的。
• 输入与输出的Web应用程序交互防护不够。
• 程序员缺乏安全意识，缺失对XSS漏洞的认知。
• XSS触发简单，完全防护起来相当困难。‘’

XSS跨站脚本实例

下面的HTML代码就演示了一个最基本的XSS弹窗：

XSS

直接在HTML页面通过

XSS攻击就是将非法的Javascript代码注入到用户的浏览器，而Web浏览器本身设计是不安全的，它只负责解释和执行Java