xss表示Cross Site Scripting(跨站腳本攻擊),它與SQL注入攻擊類似,SQL注入攻擊中以SQL語句作爲用戶輸入,從而達到查詢/修改/刪除數據的目的,而在xss攻擊中,通過插入惡意腳本,實現對用戶遊覽器的控制。
xss攻擊主要用戶攻擊者盜取用戶的cookie,由於sessionId是存儲在cookie中的,當攻擊者獲取了用戶的cookie,則攻擊者可以在session的生命週期內,達到獲取被攻擊用戶的用戶權限。
xss攻擊可以分成兩種類型:
- 非持久型攻擊
- 持久型攻擊