跨站攻擊,通常稱爲XSS(Cross Site Scripting),是一種網絡安全漏洞,攻擊者利用這個漏洞在受害者的網頁中插入惡意腳本,從而能夠獲取用戶的敏感信息、劫持會話或進行其他惡意活動。
跨站攻擊通常發生在網站對用戶輸入過濾不足的情況下,例如,攻擊者可以在輸入字段或表單中輸入惡意腳本,當其他用戶訪問這些頁面時,惡意腳本會在他們的瀏覽器中執行。跨站攻擊可以分爲以下三種類型:
反射型。攻擊者構造惡意的URL,其中包含惡意腳本,當用戶點擊這個URL時,服務器將惡意腳本作爲響應的一部分返回給用戶瀏覽器,並在瀏覽器中執行。
存儲型。網站存儲用戶提交的數據,且未經過濾或轉義,直接顯示在網頁中,攻擊者提交包含惡意腳本的數據,然後其他用戶在訪問包含該數據的頁面時,惡意腳本將在他們的瀏覽器中執行。
DOM型。基於文檔對象模型(DOM)的一種XSS攻擊,攻擊者構造惡意URL,其中包含惡意腳本,當用戶點擊包含惡意參數的URL時,惡意腳本修改頁面的DOM結構,從而導致安全漏洞。
跨站攻擊是網絡安全中最爲常用且攻擊成功率最高的一種攻擊手段。