voctor2436的博客

XSS(Cross-site Scripting)中文翻译是“跨站脚本攻击”，XSS本质上是HTML注入攻击，但又不同于HTML注入，XSS利用脚本标记运行JavaScript等脚本程序，可以通过JavaScript获取机密数据和一些列危险操作，而HTML注入只是使用HTML标签修改页面内容。HTML注入是一种漏洞，一种网络攻击方式，当网页无法清理用户提供的输入或验证输出时，攻击者就可以伪造自己的有效负载，并通过易受攻击的字段将恶意HTML代码注入应用程序，从而修改网页内容，甚至获取一些敏感数据。

此页面易受到HTTP参数污染攻击。HTTP参数污染（HPP）攻击是将编码的查询字符串分隔符注入到其他现有参数中。如果Web应用程序未正确清理用户输入，则恶意用户可能会破坏应用程序的逻辑以执行客户端或服务器端攻击。应用程序应正确清理用户输入（进行URL编码）以防止此漏洞。