
关于xssXSS,全称Cross Site Script,翻译为跨站脚本攻击。为了与CSS(层叠样式表)区分,所以命名为XSS。说起XSS,对于学习网安的小伙伴来说,是非常熟悉的,作为Web常见安全漏洞,它的危害不言而喻。XSS产生基本原理XSS漏洞的产生与Web前端语言有着密切的关系,如果您想要深入地去了解XSS漏洞的产生原理,建议您去学习以下HTML,JavaScript等前端语言,会帮助你更好的学习XSS漏洞。实际上,XSS漏洞也属于注入漏洞,跟常见的sql注入有很多相似的地方,即由于开发者没有做好相关的过滤处理,导致攻击者能够插入所构造的恶意代码,导致代码被执行,从而造成危害。例如以下代码:?php $input = $_GET['name']; echo "div".$input."/div"; ?我把上面的php文件放到网站目录下,访问urlhttp://localhost/2.php?name=HACKER!!!可以看到它将我们输入的参数“HACKER!!!”打印出来了参数“name”为用户可控,既然参数可控,我们就可以插入js代码执行我们想要的结果,例如当name=scriptalert("/xss/")/script时,代码就变成了:?php $input = $_GET['name']; echo "div".scriptalert("/xss/")/script."/div"; ?代码执行之后,会出现js的弹窗通过js代码的注入,使得原js代码的作用发生变化,使得攻击者构造的代码可以随意执行,从而造成严重安全隐患。