XSS的三种类型和对应的预防措施

望屿

已于 2022-04-03 19:11:06 修改

阅读量2.3k

点赞数

分类专栏：浏览器策略/HTTP/计网文章标签： vue.js 前端 javascript

于 2022-04-03 18:47:46 首次发布

本文链接：https://blog.youkuaiyun.com/darabiuz/article/details/123933712

版权

本文介绍了XSS（跨站脚本攻击）的定义，详细讲解了DOM型、存储型和反射型XSS的工作原理和攻击步骤，并提供了相应的防御措施，包括避免使用innerHTML、设置cookie为HttpOnly、前端渲染与数据过滤转义等，以保障用户数据安全。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. 什么是XSS

cross-site-scriping,跨站脚本攻击，为了和css区分，取名为xss
通常是在网页里嵌入一段恶意的js代码：让浏览器在渲染dom的时候，意外地执行了恶意的js代码，使得黑客盗取个人信息（通常盗取了新浪微博的账号和密码，还可以试试能不能去登录支付宝qq），执行恶意的操作（比如发恶意帖，删帖，微博关注人，转发未必之类的操作）

2. XSS的分类

1.Dom类型

DOM 型 XSS 的攻击步骤：
• 攻击者构造出特殊的 URL，其中包含恶意代码。
• 用户打开带有恶意代码的 URL。
• 用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。
• 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。
举例

有这样的代码，输入框让用户输入自己的名字，然后把用户的名字同步显示在div里

    <input id='input' type="text" placeholder="请输入名字">
    <p>你的名字是：

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

望屿

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

XSS防御方法

墨痕诉清风的博客

03-14

2462

XSS的防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施，比如Firefox的CSP，Noscript扩展，IE8内置的XSS Filter等。而对于网站来说，也应该寻找优秀的解决方案，保护用户不被XSS攻击。 1）HttpOnly HttpOnly最早是由微软提出，并在IE 6中实现的，至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。严格来说，HttpOnly并非为了对抗XSS--HttpOnly解决的是XSS后的Cookie劫持。一个C

XSS总结

weixin_51356351的博客

11-19

1645

xss理解 1、简介 xss(cross site script)跨站脚本攻击，为了避免与css混淆，所以简称为xss。 2、什么是xss xss全称叫跨站脚本攻击，因为应用使用了js框架，因为应用未做任何防御措施，导致了攻击者使用对应的payload进行攻击，受害者运行了攻击者的payload，将攻击者所需的cookie发送给了攻击者，最本质的是服务器并没有完全过滤客户端提交的数据 3、xss的危害大吗？答：很大，是现在web中主流的攻击方式。 4、xss攻击都可以导致哪些危害（1）钓鱼欺骗（2）网

参与评论您还未登录，请先登录后发表或查看评论

XSS分类

cxrpty的博客

02-20

700

实验环境：DVWA低级别（火狐浏览器）实验步骤：一、反射型XSS漏洞该漏洞又称非持久性XSS 1.选择反射型XSS，在输入框输入任意参数 2.修改参数的值为：<script>alert(/cxr/)</script>，弹出下面窗口，再次点击无法出现该窗口二、储存型XSS漏洞又称持久性XSS漏洞 1.在留言框输入任意值，都会在下面显示 ...

XSS 的三种类型及区别

m0_57836225的博客

10-10

2373

在网络安全领域，XSS（跨站脚本攻击）是一种常见的安全漏洞。本文将介绍 XSS 的三种类型，包括反射型、存储型和 DOM 型，并分析它们之间的区别。

前端安全：如何防止XSS攻击？

最新发布

破损的天堂鸟博客

01-29

1449

XSS攻击是一种常见但危险的漏洞，通过输入验证、输出编码、HTTP头部策略、内容安全策略以及现代框架的使用，可以有效降低XSS攻击的风险。同时，持续的安全检测和团队的安全意识提升也是保障前端安全的重要环节。

渗透测试-xss的三种类型讲解

lza20001103的博客

08-07

4513

渗透测试-xss的三种类型讲解

XSS的分类和原理

2301_80361487的博客

01-24

1423

XSS漏洞分类 1、反射型（非持续型） 2、存储型（持续型） 3、DOM型反射型(Reflected Cross-site Scripting）反射型xss也称作非持久型、参数型跨站脚本。主要用于将恶意脚本附加到URL地址的参数中。产生层面：前端漏洞特征：一次性的、前端执行、不会储存在后端数据库危害等级：中反射型XSS攻击原理反射型XSS原理反射型XSS形成的一个过程反射型 XSS 反射型 XSS 的攻击步骤：攻

XSS攻击的三种方法

小赵同学的博客

01-06

2510

掌握跨站脚本的概念理解跨站脚本的实例什么是XSS？跨站脚本 1、由于Web应用层序程序对用户的输入过滤不足产生的。 2、攻击者利用漏洞注入恶意JS代码到网页之中，当用户浏览网页时就会执行恶意代码。 3、主要可以对用户cookie资料窃取、会话劫持、钓鱼等。攻击流程解：攻击者向服务器发起XSS攻击注入JS代码，用户浏览被攻击的服务器发送浏览请求服务器返回响应包含攻击者注入的代码 XSS的分类 XSS根据其特性和利用手法分为三大类： 1、反射性跨站脚本 2、存储性跨站脚本 3、DOM

Pikachu中 Xss的简单防御剖析

m123456wer的博客

04-20

271

Pickachu中 Xss的简单防御剖析

最新完善版XSS平台源码【40多个模块】,xss源码下载,PHP

03-26

PHP如何防止XSS攻击与XSS攻击原理的讲解

10-17

XSS攻击主要分为三种类型：反射型、存储型和基于DOM的XSS。 XSS攻击原理涉及Web应用程序如何处理用户输入的问题。在不经过适当过滤的情况下，用户输入的数据可能会被当作代码执行。比如，当一个Web表单用于收集用户...

xss 利用方式

07-30

847

漏洞原理　　HTML是一种超文本标记语言，通过将一些字符特殊地对待来区别文本和标记，例如，小于符号（<）被看作是HTML标签的开始，<title>与</title>之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符（如<）时，用户浏览器会将其误认为是插入了HTML标签，当这些HTML标签引入了一段JavaScript脚本时，这些脚本...

XSS的分类

weixin_43803070的博客

04-29

2648

一.XSS 的分类 1.持久型 1）反射型跨站脚本也称为非持久型、参数型跨站脚本。主要用于将恶意脚本附加到url地址的参数中。例如:http://www.qiqianmao.com/index.php?id="> 2）反射型xss会诱导用户去访问一个包含恶意代码的url，当用户访问这些连接的时候，恶意的js代码会直接在受害者的浏览器上执行，他的特点是只在用户单击时触发，而且只执行一次，非...

XSS漏洞类型原理及防御方式_三种xss漏洞防御，2024年最新带你全面掌握高级知识点

uiuuyy67的博客

04-15

3243

XSS全称是Cross Site Scripting即跨站脚本，为了与层叠样式表Cascading Style Sheets，CSS）的缩写进行区分，将跨站脚本攻击缩写为XSS，其本质是攻击者在web页面插入恶意的script代码（这个代码可以是JS脚本、CSS样式或者其他意料之外的代码），当用户浏览该页面之时，嵌入其中的script代码会被执行，从而达到恶意攻击用户的目的。

三种攻击方式简介xss,crsf,sqlins

XRYMIBZ的博客

06-17

1163

xss 非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。持久型xss攻击会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。” 然后是 crsf。 CSRF（Cross-site request forgery跨站请求伪造，也被称

XSS攻击的分类

weixin_43440736的博客

04-02

218

XXS cross site sprits 常见的攻击包括反射性XSS 存储型XSS htmlspeciachars DOM型XSS XSS攻击需要的就是加过滤。

XSS攻击(2), XSS分类, 测试方法, 防御方法, 绕过方法

探测???

10-18

2177

例如，如果一个论坛的帖子内容没有经过适当的过滤和转义，攻击者可以发布一个带有恶意脚本的帖子，当其他用户查看该帖子时，恶意脚本会在他们的浏览器中执行。对于XSS的不同类型，使用的渗透测试方法可能会有所不同。：与反射型XSS相似，尝试插入恶意载荷，但在这里，您希望这些载荷能够被存储并在后续的请求中再次呈现给用户。：查找应用程序中的所有地方，可以提交数据并在其他地方再次显示这些数据，例如评论、论坛帖子、用户资料等。恶意脚本被存储在目标服务器上（例如，数据库中），当其他用户访问某些页面时，脚本会被加载并执行。

xss原理和分类

qq_51233573的博客

04-26

3226

前言：准备智警杯的过程中，也不能掉下漏洞的学习。浅浅学习一下关于xss的一些知识何为xss？全名跨站脚本攻击，也属于注入，属于代码注入的一种。由于未进行严格的过滤，haker可以将恶意代码注入到网页当中，其他用户在访问该网页时会执行恶意代码。 xss有什么危害？盗取用户账号窃取用户cookie 冒充用户身份进入网站劫持用户会话，执行任意操作刷流量，执行弹窗广告传播蠕虫病毒记录一定限度的键盘输入 xss虽然不能直接产生攻击，但是由于其攻击的对象为用户，所以可以利用其作为

XSS 概念及分类

dearls的专栏

05-22

320

转自： http://www.cnblogs.com/coderzh/archive/2008/09/06/1285500.html XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。使用过ASP的同学一定见过这样的...

XSS攻击详解：原理、防御与测试实战

测试人员必须深入理解XSS的工作原理、攻击场景以及防御措施，以便有效地防止此类漏洞的发生。 1. **XSS发生原理** 当Web应用程序未正确处理用户输入时，攻击者可以利用HTML标签注入恶意脚本。例如，如果一个网页有...