Java Web 安全之XSS
概念
跨站脚本攻击(Cross Site Scripting),简称XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
原理
攻击者在客户端以程序的形式作为数据提交。
危害
- 获取页面数据
- 获取Cookies
- 劫持前端逻辑
- 发送请求
- 偷取网站任意数据
- 偷取用户资料
- 偷取用户密码和登陆状态
- 欺骗用户
XSS攻击分类
反射型:url参数直接注入
存储型:存储到DB后读取时注入
XSS攻击注入点
- html结点内容
- html属性
- js代码
- 富文本