跨站脚本攻击是什么？分为哪几类？

　　跨站脚本攻击英文全称Cross Site Scripting，缩写为css，但由于与层叠样式表发生冲突，因此为了避免混淆，跨站脚本攻击缩写为XSS。那么跨站脚本攻击是什么?很多人可能不明白，这篇文章为大家介绍一下。

　　跨站脚本攻击，俗称XSS，通常指利用网站漏洞从用户处获取隐私信息。跨站脚本缩写为CSS，但由于层叠样式表的缩写重复，为了避免混淆，大部分地区都称为XSS。

　　XSS漏洞分类

　　XSS漏洞类型可以分为三类，按其危害程度排序由高到低分别为：存储型XSS、反射型XSS、DOM型XSS。

　　存储型XSS：也称其为持久型跨站，是最为直接的危害类型，其跨站代码存储于数据库中，常见于数据交互界面，如注册界面等。

　　反射型XSS：此类型也称为非持久型跨站，同时也是最为普遍的类型，用户访问服务器后，通过跨站连接返回跨站代码，一般是一次性使用，即用即得，常见于信息查询等可以获取大量信息的界面。

　　DOM型XSS：DOM意为文档对象模型，是客户端脚本逻辑有误导致的安全问题，类似于反射型XSS为一次性使用，漏洞一般直接存在于前端代码，不与后台服务器交互。

　　XSS的危害

　　1、XSS蠕虫：XSS蠕虫基于社工的基础上，诱使用户点击访问其发出的恶意邀请链接。社交网络用户接收到好友发出的相关链接时，往往是不加分辨地直接点击访问。活跃节点会比非活跃节点收到更多的蠕虫邀请链接，一旦受到感染，也会发送更多的蠕虫邀请链接。

　　2、Cookie窃取：攻击者利用XSS在网页中插入恶意代码，一旦用户访问该网页，cookie就会自动发送到攻击者服务器中去。使用cookie我们可以实现免密登陆，一旦得手，他们可以盗取用户账户，修改用户设置，污染cookie，做虚假广告等。

　　3、钓鱼欺骗：利用目标网站的反射型XSS漏洞，将目前重定向到钓鱼网站，或在JavaScript中写入恶意钓鱼代码，用于监控网站的数据输入，从而获取信息。

　　4、网页挂马：顾名思义，将木马下载到本地用户，并进一步执行，当木马获得执行后，会有更多的木马被下载，进入一个恶性循环，从而使用户电脑受到攻击或控制。常见的跨站脚本攻击会利用弹出恶意窗口的方式进行挂马攻击。

　　5、会话劫持：部分跨站脚本攻击可以劫持浏览器，查看用户的浏览历史以及发送或接收的数据，同时访问正常网站时被转向到恶意网页，一些无用的插件也会自动添加。