参考答案
XSS 攻击原理:
- XSS 攻击,英文全称 Cross Site Script ,中文全称“跨站脚本攻击”。
- XSS 是 Web 程序中常见的漏洞,XSS 属于被动式、且用于客户端的攻击方式。
- 攻击者向有XSS 漏洞的网站中输入恶意的 HTML 代码,当用户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。
- XSS 攻击类似于 SQL 注入攻击,SQL 注入攻击中以 SQL 语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。
XSS 攻击有两种形式:
- 反射型攻击:诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式。
- 持久型攻击:将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ 邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台。
以上,是网络安全面试题【什么是 XSS 攻击】的参考答案。
输出,是最好的学习方法。
欢迎在评论区留下你的问题、笔记或知识点补充~
—end—
