XSS基础知识整理
-
跨站脚本攻击
-
存储型
- 原理同反射型;但是输入的内容会保存到数据库中;每次访问都会加载;持续性的
-
DOM型(DOM是一种html文本存储结构,方便对html节点进行处理,前端)
-
前端存储的js脚本利用DOM结构来管理页面元素、内容和属性(本地处理)
-
DOM中可能存在xss的属性(从url中获取信息导致)
-
弹窗方式
- confirm()
- 指定消息内容的弹窗;有确认和取消按钮;可以接收返回值
-
编码方式
-
xss注入方法(重点掌握其中的方法和书写格式)
-
- 创建一个内联框架显示引入的外部网站的信息;引入网站内容会嵌入当前页面
-
body
- 利用换行符以及autofocus,自动去触发onscroll事件,无需用户去触发
-
details标签
- 详解:HTML
标签 | 菜鸟教程 (runoob.com)
- ontoggle:details标签打开或关闭时触发
-
select
- 进行闭合