1.什么是xss
2.XSS的分类
1.反射性
与服务端交互,但是交互的数据一般不会被存在数据库中,一次性,所见即所得,一般出现在查询类页面等。
2.存储型
与后端交互一般会存储到数据库中。
只要进入页面就会弹框。
3.dom型
通过前端的dom节点形成的XSS漏洞,一般不与后台服务器产生数据交互
常用语句
3.XSS的绕过
1.前端
2.后端
1.大小写混合
2.双写
3.标签
使用一些其他标签
4.伪协议
javascript:代码; javascript伪协议
5.htmlspecialchars()函数
6.编码绕过
1.实体编码
<img src=# onerror="alert('111')"/>
<img src=# onerror="alert('111')"/>
2.unicode编码
7.httponly
4.XSS常规防范
小白一枚,水平有限,不足之处请多多指教!!!