XSS在国内被某些文献称之为跨站脚本攻击,其英文名称为Cross-site scripting,通常简称为XSS,与CSS区分开。这是一种黑客利用网站应用程序的安全漏洞采取插入JS代码的攻击方法,是几种代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时只要点击就会使这种代码运行,从而达到攻击目的。这类攻击通常包含了HTML以及用户端脚本语言。 跨站脚本攻击攻击通常指的是黑客通过利用网页开发时留下的漏洞,将JS/HTML恶意指令代码注入到网页中,使用户在点击相关链接时加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括VBScript、Java、Flash、ActiveX甚至只是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 同源策略 同源策略是指在Web浏览器中,允许某个网页脚本访问另一个网页的数据,但前提是这两个网页必须有相同的端口号、主机名和URI,一旦这两个网站同时满足上述条件,这两个网站就被认定为具有相同来源。此策略可防止某个网页上的恶意脚本通过该页面的文档对象模型访问另一网页上的敏感数据。 同源策略对Web应用程序具有特殊意义,因为Web应用程序广泛依赖于HTTP cookie来维持用户会话,所以必须将不相关网站严格分隔,以防止丢失数据泄露。 需要引起读者关注的是,同源策略仅适用于脚本,这意味着某网站可以通过相应的HTML标签访问不同来源网站上的动态加载脚本、CSS和图像等资源,而跨站请求伪造就是利用同源策略不适用于HTML标签的缺陷,从而达到黑客的攻击目的。
