一、XSS***原理:
XSS***是利用網站的漏洞,例如用戶輸入之類的post數據到服務器,服務器正常保存,輸出到客戶端,利用用戶端和服務端代碼漏洞,沒有檢測機制,輸入惡意代碼給服務器,服務器返回之後,客戶端執行了這個惡意代碼。
簡單的來說就是:想盡一切辦法,讓客戶端執行我的js代碼
舉例:
<form action="" method="get">
<input type="text" name="xss_input">
<input type="submit">
</form>
<?php
$xss = $_GET['xss_input'];
echo '你輸入的字符爲<br>'.$xss;
?>
正常的流程是:用戶輸入,然後php獲取輸入之後,顯示給客戶端。但是如果客戶輸入的是<script>alert('da')</script>,那就是相當於返回來的是<script>alert('da')</script>,然後就會被瀏覽器解析的時候直接執行