三种XSS攻击类型
反射型:
一般来说这种类型的XSS,需要攻击者提前构造一个恶意链接,来诱使客户点击,比如这样的一段链接:www.abc.com/?params=<script>alert(/xss/)</script>。
存储型:
这种类型的XSS,危害比前一种大得多。比如一个攻击者在论坛的楼层中包含了一段JavaScript代码,并且服务器没有正确进行过滤输出,那就会造成浏览这个页面的用户执行这段JavaScript代码。
DOMXSS:
这种类型则是利用非法输入来闭合对应的html标签。
比如,有这样的一个a标签:
<a href='$var'></a>
乍看问题不大,可是当$var的内容变为 ' onclick='alert(/xss/) //,这段代码就会被执行。