[Web Safety] XSS简介

XSS,

跨站脚本攻击(Cross Site Script Attack),一种很常见的攻击方法。

1. 一个简单的简单的XSS示例PHP示例

1
2
3
4
5
6
7
<html>
<head></head>
<?php
$input = $_GET["param"];
echo "<div>".$input."</div>"
?>
</html>

这个时候我们在本地的PHP服务器中创建了一个带有GET的网页,这种不加区分的GET方法就是一个很简单的XSS注入点。

当我们插入这样的代码:(好像拿Chrome浏览器就不会alert)

[http://localhost/chart.php?param=%3Cscript%3Ealert(/xss/)%3C/script%3E%3C/div%3E](http://localhost/chart.php?param=%3Cscript%3Ealert(/xss/)%3C/script%3E%3C/div%3E)

也就是http://localhost/chart.php?param=