跨站腳本攻擊(Cross-Site Scripting,XSS)是一種常見的Web應用安全漏洞。
跨站腳本攻擊發生在攻擊者在看似安全的網頁中惡意嵌入腳本代碼,當其他用戶查看該網頁時,這些腳本代碼會在他們的瀏覽器中執行。這種攻擊可以包含HTML和客戶端腳本語言,如JavaScript。跨站腳本攻擊有三種主要類型:反射型XSS、存儲型XSS和DOM型XSS。反射型XSS是最常見的形式,其中攻擊者通過構造包含惡意腳本的URL,誘使用戶點擊該鏈接,服務器將惡意腳本作爲響應返回給用戶瀏覽器執行。存儲型XSS發生在網站存儲用戶提交的數據,並在網頁中直接顯示這些數據時,惡意腳本被存儲並執行。DOM型XSS是基於文檔對象模型(DOM)的攻擊,其中惡意腳本直接在客戶端修改頁面的DOM結構。
此外,跨站腳本攻擊不僅限於插入惡意腳本,攻擊者還可能利用這些漏洞竊取用戶數據、傳播惡意軟件或進行網絡釣魚等更嚴重的攻擊。