XSS总结

最新推荐文章于 2025-07-19 15:09:01 发布

转载最新推荐文章于 2025-07-19 15:09:01 发布 · 100 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：https://juejin.im/post/5cac803a5188251acf21e3e0

本文深入解析XSS(跨站脚本)攻击的概念，探讨其三种主要类型：反射型、DOM型及存储型XSS，并介绍有效的防御策略，包括输入过滤、输出编码等，帮助开发者理解和防范网页安全风险。

XSS是什么

    1.跨站攻击脚本
复制代码

xss过滤方法

    输入过滤输出编码
    输入验证：输入是否仅仅是合法的字符
                输入字符串是否超过最大限制
                输入如果是数字，是否在指定的范围内
                输入是否符合格式要求：如ip地址或者email地址
                输入是否过滤了敏感字符：<> ' "' # javascript  expression
    输入编码：当输入一个字符串到网页中，同时不确定这个字符串是否是包含xss特殊字符。为了保证输出内容完整性可以使用编码HTMLencode处理
                htmlspecialchare（）函数可以将特殊字符转成字符实体编码
复制代码

分类

    反射性xss
    dom型xss
    存储型xss复制代码

转载于:https://juejin.im/post/5cac803a5188251acf21e3e0

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33813128

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

XSS总结：跨站脚本（XSS）攻击向量（精）

墨痕诉清风的博客

10-13

462

事件处理不需要用户交互的事件处理程序激活元素时触发(IE) <a id=x tabindex=1 onactivate=alert(1)></a> 页面打印后触发（Chrome、Firefox、IE) <body onafterprint=alert(1)> CSS动画取消时触发(Firefox) <style>@keyfra......

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结

热门推荐

杨秀璋的专栏

06-09

1万+

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了WHUCTF隐写和逆向题目，包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目，包括CSS注入、越权、csrf-token窃取及CSP绕过，同时总结XSS绕过知识，希望对您有所帮助。第一次参加CTF，还是学到了很多东西。人生路上，要珍惜好每一天与家人陪伴的日子。感谢武汉大学，感谢这些大佬和师傅们（尤其出题和解题的老师们）~

参与评论您还未登录，请先登录后发表或查看评论

XSS小总结

孤的博客

10-02

588

原理开发者在开发时，对客户端过滤严格，导致恶意的javascript代码在浏览器上执行跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中，通过用户本地浏览器执行的，所以xss漏洞关键就是寻找参数未过滤的...

32个触发事件XSS语句的总结

04-01

32个触发事件XSS语句的总结，新人学习xss必看！

xss总结

最新发布

m0_74385608的博客

07-19

1132

跨站脚本攻击，为了不和层叠样式表的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击！反射型XSS是非持久性、参数型的跨站脚本。反射型XSS的JS代码在Web应用的参数（变量）中，如搜索框的反射型XSS。在搜索框中，提交，点击搜索，即可触发反射型XSS。注意到，我们提交的poc会出现在。

【CTF-Web】XSS漏洞学习笔记（附ctfshow web316-333题目）

jayq1的博客

06-07

5855

XSS

83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-优快云博客1

08-03

【网络安全自学篇】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结本文主要介绍了网络安全领域中常见的几种攻击手段，包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击，并通过WHUCTF比赛中的...

跨域XSS总结：客户端与服务器端解决方案

"这篇PPT主要探讨了跨域XSS问题在构建混合应用中的解决方案，由Mehmet Akin主讲，涵盖了从2009年IBM公司的视角来看的多种跨域策略和技术，包括基本概念、同源策略、客户端和服务器端的解决方案，以及HTML5的跨文档...

XSS知识总结

qq_43842093的博客

11-07

7009

XSS基础跨站脚本（英语：Cross-site scripting，通常简称为：XSS）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java，VBScript，ActiveX，Flash或者甚至

XSS学习总结21篇

qq_45300786的博客

06-18

745

所有的文章都是看源码分析的，但是我这里推荐用抓包工具看输出这里我要补充一下xss的相关知识（这里非常非常重要，如果连这些都不知道，是很难做xss的）一、html标签里可以继续写html标签 <p>giegie，我你男朋友不会揍我吧<script>alert(1)</script></p> 二、html元素的属性可以触发事件（https://www.runoob.com/html/html-attributes.html） HTML 属性 HTML 元素可

Xss总结

code_lab

06-13

833

1. 什么都没过滤的入门情况< script>alert(1)< /script>(练习时去掉空格) < img src=”XXXX”> < img src=1 onerror=alert(1);> 2. 输出在< script>< /script>之间的情况1.< /script>< script>XXX 2.针对输出在不同的场景，进行合适的过滤。 3. 输出在HTML属性里的情况有时候,输

xss 总结

0ffs3t

10-18

6993

document.getElementById("y").innerHTML="xxxxxxxxxx"; document.write("xxxxxxxxxxxx"); $("#y").html("xxxxxxx"); aa.innerHTML="xxxxxxxxxxxx"; 这种情况下。xxxxx只能使用这种方式来触发JS。