滲透測試 xss 是什么原理

XSS的原理是WEB應用程序混淆了用戶提交的數據和JS腳本的代碼邊界，導致瀏覽器把用戶的輸入當成了JS代碼來執行。XSS的攻擊對象是瀏覽器一端的普通用戶。

XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。它與SQL注入攻擊類似，SQL注入攻擊中以SQL語句作為用戶輸入，從而達到查詢/修改/刪除數據的目的，而在xss攻擊中，通過插入惡意腳本，實現對用戶游覽器的控制，獲取用戶的一些信息。

防御方法：

第一、在輸入方面對所有用戶提交內容進行可靠的輸入驗證，提交內容包括URL、查詢關鍵字、http頭、post數據等。

第二、在輸出方面，在用戶輸內容中使用標簽。

回答所涉及的環境：聯想天逸510S、Windows 10。