html注入跨站攻击脚本,跨站脚本攻击（XSS）

跨站脚本攻击(XSS)是一种客户端代码注入攻击。攻击者通过在合法的网页中注入恶意代码，达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时，攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。

如果网页将用户的原始输入作为网页内容，那么它很容易受到 XSS 攻击，因为这类用户输入一定会被受害者的浏览器解析。XSS 攻击可能存在于 VBScript、ActiveX、Flash，甚至 CSS 中。但它在 JavaScript 中最常见，主要是因为 JavaScript 是大多数浏览体验的基础。

“跨站脚本攻击只影响用户吗？”

如果攻击者能利用某网页上的 XSS 漏洞，在用户浏览器上执行任意的 JavaScript 代码，那么该网站和它的用户都会被影响。像其他安全性问题一样，XSS 不只会给用户造成困扰。如果它影响了你的用户，那么它也会影响你。

跨站脚本攻击也可能用于丑化原网站，而不是攻击网站用户。攻击者通过注入脚本，改变网站的内容，或者甚至将当前页面重定向到另一个网页，例如一个有恶意代码的网页。

攻击者能利用 JavaScript 做什么？

与诸如 SQL 注入这样的漏洞相比，我们一般会认为 XSS 漏洞是低风险的。起初，能在网页端执行 JavaScript 引起的后果可能并不严重。大多数浏览器都是在严格受控的环境中运行 JavaScript，这使得 JavaScript 在访问用户的操作系统和文件上受到限制。但是，如果将 JavaScript 用于恶意内容中，它仍然会带来一定的风险：

网页其余部分能访问的所有对象，恶意的 JavaScript 都能访问。包括访问用户的 cookie。用户的 cookie 通常被用来存储会话标志。如果攻击者获得了用户的会话 cookie，他们便能伪装成该用户，利用其身份执行操作，并且访问用户的敏感数据。

JavaScript 可以读取并任意修改浏览器中的 DOM。还好，该情形只可能发生在 JavaScript 当前运行的网页中。

JavaScript 可使用 XMLHttpReques

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！