一、XSS***原理:
XSS***是利用网站的漏洞,例如用户输入之类的post数据到服务器,服务器正常保存,输出到客户端,利用用户端和服务端代码漏洞,没有检测机制,输入恶意代码给服务器,服务器返回之后,客户端执行了这个恶意代码。
简单的来说就是:想尽一切办法,让客户端执行我的js代码
举例:
<form action="" method="get">
<input type="text" name="xss_input">
<input type="submit">
</form>
<?php
$xss = $_GET['xss_input'];
echo '你输入的字符为<br>'.$xss;
?> 正常的流程是:用户输入,然后php获取输入之后,显示给客户端。但是如果客户输入的是<script>alert('da')</script>,那就是相当于返回来的是<script>alert('da')</script>,然后就会被浏览器解析的时候直接执行