1. 反射型XSS(Reflected XSS)
攻击者通过构造一个包含恶意脚本的URL,诱使用户点击该链接,从而使恶意脚本在用户的浏览器中执行。
特点:
恶意脚本不会存储在服务器上,而是通过URL参数反射回用户的浏览器。
需要用户主动点击恶意链接才能触发。
2. 存储型XSS(Stored XSS)
攻击者将恶意脚本存储在服务器上,当其他用户访问包含该脚本的页面时,脚本会被执行。
特点:
恶意脚本被永久存储在服务器上,任何访问相关页面的用户都会受到影响。
不需要用户主动点击恶意链接,只需访问包含恶意脚本的页面即可触发。
3. DOM破坏(DOM Tampering)
攻击者通过JavaScript直接改网页的DOM结构,比如插入恶意脚本或篡改页面内容。
4. JavaScript原型链污染(Prototype Pollution)
攻击者通过修改JavaScript对象的原型(所有对象继承的“模板”),让所有对象都继承恶意属性或方法。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
