XSS攻擊的原理是什么

xss又稱為css，全稱為cross-site script，跨站腳本攻擊，為了和css層疊樣式表區分所以取名為xss，是web程序中常見的漏洞。

原理：

攻擊者向有 XSS 漏洞的網站中輸入惡意的 html 代碼，當其它用戶瀏覽該網站時候，該段 HTML 代碼會自動執行，從而達到攻擊的目的，如盜取用戶的 Cookie，破壞頁面結構，重定向到其它網站等。

例如：某論壇的評論功能沒有對 XSS 進行過濾，那么我們可以對其進行評論，評論如下：

<script> while(true) {     alert(&#39;你關不掉我&#39;); } </script>

在發布評論中含有 JS 的內容文本，這時候如果服務器沒有過濾或轉義掉這些腳本，作為內容發布到頁面上，其他用戶訪問這個頁面的時候就會運行這段腳本。

這只是一個簡單的小例子，惡意著可以將上述代碼修改為惡意的代碼，就可以盜取你的 Cookie 或者其它信息了。

XSS 類型：

一般可以分為： 持久型 XSS 和非持久性 XSS

1、持久型 XSS 就是對客戶端攻擊的腳本植入到服務器上，從而導致每個正常訪問到的用戶都會遭到這段 XSS 腳本的攻擊。(如上述的留言評論功能)

2、非持久型 XSS 是對一個頁面的 URL 中的某個參數做文章，把精心構造好的惡意腳本包裝在 URL 參數重，再將這個 URL 發布到網上，騙取用戶訪問，從而進行攻擊

非持久性 XSS 的安全威脅比較小，因為只要服務器調整業務代碼進行過濾，黑客精心構造的這段 URL 就會瞬間失效了，而相比之下，持久型 XSS 的攻擊影響力很大，有時候服務端需要刪好幾張表，查詢很多庫才能將惡意代碼的數據進行刪除。

推薦教程：web服務器安全