跨站脚本攻击是什么？老男孩网络安全学习

　　渗透测试，是一项在计算机系统上进行的授权模拟攻击，旨在对其安全性进行评估，是为了证明网络防御按照预期计划正常运行而提供的一种机制。而在学习渗透测试过程中，我们会遇到各种各样的漏洞，比如：文件包含漏洞、SQL注入漏洞、文件上传漏洞、跨站脚本攻击漏洞等，接下来这篇文章主要讲解一下渗透测试跨站脚本攻击，快来看看吧。

　　跨站脚本攻击，俗称XSS，通常指利用网站漏洞从用户处获取隐私信息。跨站脚本攻击缩写为CSS，但由于层叠样式表的缩写重复，为了避免混淆，现在大部分地区都称为XSS。

　　XSS漏洞类型可以分为三类，按其危害程度排序由高到低分别为：存储型XSS、反射型XSS、DOM型XSS。

　　存储型XSS：也称其为持久型跨站，是最为直接的危害类型，其跨站代码存储于数据库中，常见于数据交互界面，如注册界面等。

　　反射型XSS：此类型也称为非持久型跨站，同时也是最为普遍的类型，用户访问服务器后，通过跨站连接返回跨站代码，一般是一次性使用，即用即得，常见于信息查询等可以获取大量信息的界面。

　　DOM型XSS：DOM意为文档对象模型，是客户端脚本逻辑有误导致的安全问题，类似于反射型XSS为一次性使用，漏洞一般直接存在于前端代码，不与后台服务器交互。

　　XSS漏洞防护技巧

　　1、不随意插入不可信数据

　　2、在向HTML中插入数据前，对HTML进行解码

　　3、在向HTML常见属性插入数据前，进行属性解码

　　4、在向HTML URL插入数据前，进行URL解码

　　5、加大验证力度，验证格式，范围以及内容

　　网络安全培训班正在招生中，更多网络安全课程信息，欢迎咨询老男孩教育在线客服，可免费申请试听学习视频和教学大纲，了解网络安全学习路线。

注意：吐槽知乎网只是一个问答与文章免费发布平台，所有信息均有会员免费发布，不产生金钱交易，如果你有资金往来，请及时通过电话与对方联系，调查清楚，确认无误在选择，否则造成你的损失，由自己承担，本平台概不负责，谢谢！