本文共 695 字，大约阅读时间需要 2 分钟。

XSS（ 跨站脚本攻击）

1.反射性xss：

它的攻击过程为当用户登录网站并获得web服务器颁发的cookie凭证时，这个时候用户点击了攻击者构造的url时，就会在服务器上请求攻击者的url，并在执行攻击者的url中的js代码，js代码会将用户的cookie通过提交给攻击者，从而攻击者就可以获得用户的身份信息。

2. 存储型xss：这个漏洞的产生一般是因为没有对用户的输入进行过滤，一般存在留言板居多，攻击者将xss代码通过留言板提交给服务器并且，并且存储在数据库中，与放射性xss不同的是，因为存储型xss是将恶意脚本存储在数据库端，所以它可以持续的进行攻击。因此，它的危害比反射性xss要大的多，每当用户访问已经被注入恶意脚本的网页时，恶意脚本就会执行，自己的cookie信息就会通过这个恶意脚本发送给攻击者。

CSRF(Cross-site request forgery)跨站请求伪造

与xss不同的是csrf攻击的方式并不是获取用户的cookie达到攻击的目的，而是在用户在访问服务器获取cookie时，用户点击了攻击者精心构造的url，在用户毫不知情的情况下，在用户的电脑上以用户的身份执行了攻击者想要做的事情，在这一过程，攻击者并没有获得用户的cookie。

举一个小例子：用户刚刚访问了网上银行，这个时候这个用户点击了攻击者的url，攻击者往往构造一些具有吸引力的url诱导你去点击，到这个用户点击了攻击者构造的url时，就会以用户的身份向这个网上银行提交url中的表单，表单的内容很可能就是向攻击者的账户上转账，用户在查一下自己银行上的钱时，发现只有几毛钱，真的是欲哭无泪啊。

转载地址：http://kjhzi.baihongyu.com/