2201_75445650的博客

XSS（Cross-Site Scripting，跨站脚本攻击），是指攻击者在网页中注入恶意脚本，当其他用户浏览网页时，这些脚本会在用户浏览器中执行，从而达到盗取信息、篡改页面、伪造身份等攻击目的。XSS 本质是脚本注入，浏览器在解析过程中执行了用户控制的代码。输入校验输出编码使用 CSP 等安全头采用现代安全框架开发。

在网络安全领域，SQL 注入（SQL Injection）是一种非常经典且常见的攻击方式。而想要进行有效的 SQL 注入，熟悉不同数据库的基本特点和差异是非常重要的。

SSRF（Server-Side Request Forgery，服务器端请求伪造） 是一种由攻击者构造请求，诱使服务端发起内部或外部请求的攻击方式。攻击目标通常是 内网服务、云元数据接口、其他受信主机。

HTML 标签结构和属性（特别是事件属性如onclickonerrorJavaScript 基本操作（alert、document.write、DOM 操作）浏览器解析机制（解析<script>，自动触发事件）URL 组成与数据传递方式（search、hash）记住：XSS 本质是前端输入输出处理不当导致的安全漏洞。只有打下扎实的前端基础，才能真正理解攻击路径、有效防护漏洞！

SQL 盲注是指当注入成功后，服务器没有直接返回查询结果，但仍然执行了注入语句时，攻击者通过页面行为（如：是否报错、是否延迟、页面是否变化）来“盲猜”数据库信息的一种注入方式。SQL 盲注的核心在于**“猜测” + “观察”**。布尔盲注、时间盲注、报错注入，各有用途，常搭配使用。学会判断参数类型是构造 payload 的基础。工具如 sqlmap 可以帮助自动化测试，但原理必须掌握。

CSRF（Cross-Site Request Forgery，跨站请求伪造） 是一种攻击方式，攻击者诱导受害用户在已登录目标网站的情况下，向目标网站发起非本意的请求，从而在受害者不知情的情况下完成恶意操作（如转账、改邮箱、改密码等）。