簡介
xss又名跨站腳本攻擊,攻擊者可以利用網站的xss漏洞執行一些腳本代碼,達到自己的目的。以上比較出名的xss攻擊事件就有hellosamy,這個作者利用了微網誌的xss漏洞,刷屏關注自己。
業務場景
最有效的xss還是屬于存儲型的,通過送出表單的形式,将自己的xss代碼送出到資料庫,若目标服務沒有轉義和屏蔽關鍵詞,有相關的漏洞,将會在顯示到頁面的時候執行我們的xss代碼,達到反客為主的目的。
像存儲型的xss針對的主要是後端邏輯,看後端邏輯是否有轉義和關鍵詞過濾。
還有其他兩種類型的xss
分别是反射性和DOM型,這兩種類型的XSS攻擊,都是攻擊者通過分析你的前端js代碼來進行XSS攻擊試探調試的,這時候我們如果想要防止攻擊者分析我們的代碼,就需要用到js加密了,至于如何加密js,這就要交給專業的工具來做了。
![14 種有用的 JavaScript 正則化方法[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)