什么是XSS?XSS 。全称为Cross Site Scripting 。意思是跨站脚本攻击 。为了与层叠样式表（CSS：Cascading Style Sheets）区分 。故其缩写改为XSS 。
XSS攻击的原理是恶意攻击者在Web页面里插入恶意脚本 。当用户浏览该页面时 。嵌入的脚本代码会被执行 。从而达到攻击目的 。通常攻击者会通过XSS攻击来盗取用户隐私信息 。

文章插图
文章插图
黑客诱导受害者点击恶意url
XSS漏洞分类攻击者之所以有可乘之机 。就是因为Web系统存在可以被XSS攻击利用的漏洞 。XSS漏洞主要分为持久型XSS漏洞和非持久性XSS漏洞 。
非持久性XSS漏洞是指 用于攻击的XSS脚本不会被后端持久化保存在服务器上或数据库里面 。攻击方式也不止一种 。比如DOM XSS漏洞、反射性漏洞等 。
DOM XSSDOM-based XSS漏洞是基于文档对象模型（DOM: Document Object Model)的一种漏洞 。通常是通过url传入参数来控制触发的 。比如网页上有这么一段javascript代码：
<script>document.write(location.href.substring(location.href.indexOf('default=') + 8));</script>这段代码的本意是：取出url里的default参数的值 。然后显示到页面上 。但这样会带来一个问题：如果default的值是一段包裹在script标签里的js代码 。也会被加载执行 。
基于这个漏洞 。攻击者可以设计一个诱导用户点击的url：

• 什么情况会数罪并罚,什么情况按最高犯罪处罚 什么情况会数罪并罚
• 最快速的运动减肥方法有什么？
• 第一次办医保卡在哪里办？需要什么材料？
• 灵活就业人员失业保险缴纳要什么条件？灵活就业人员可以补交失业保险吗？
• 长沙失业保险金每月领取多少钱一个月2022-2023？长沙失业补助金领取期限是多久？
• 洗衣机上水中途暂停 洗衣机为什么进水停不了
• 林内热水器湖南总代理是什么故障？怎么解决
• 日行一善下一句是什么 日行一善下一句是啥
• 日处口读什么的 日处口这个字的含义
• 关于报复陷害规定刑事刑罚内容是什么样