「作者简介」：CSDNtop100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》XSSReflected一、Low级别二、Medium级别三、High级别这一关的功能是：把用户输入的名字在页面显示出来。用户输入内容后，点击提交，把输入的内容赋值给参数name，使用Get请求传递给后端，后台处理后，在页面输出用户输入的内容。一、Low级别低级别没有过滤，直接提交JS代码即可，payload:script>alert('就TM你叫韩毅啊')/script>在输入框中输入payload，点submit提交弹窗就算过关二、

「作者简介」：CSDNtop100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》XSSReflected一、Low级别二、Medium级别三、High级别这一关的功能是：把用户输入的名字在页面显示出来。用户输入内容后，点击提交，把输入的内容赋值给参数name，使用Get请求传递给后端，后台处理后，在页面输出用户输入的内容。一、Low级别低级别没有过滤，直接提交JS代码即可，payload:script>alert('就TM你叫韩毅啊')/script>在输入框中输入payload，点submit提交弹窗就算过关二、

一、定义XSS（CrossSiteScripting），翻译过来就是跨站脚本。指的是在用户浏览器上，在渲染DOM树的时候，执行了不可预期的JS脚本，从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。二、XSS类型反射型XSS(你提交的恶意数据成功的实现了XSS，但是仅仅是对你这次访问产生了影响，是非持久型攻击)。存储型XSS(你提交的数据成功的实现了XSS，存入了数据库或者写入日志，别人访问这个页面的时候就会自动触发)。DOM型XSS是一种基于网页DOM结构的攻击，该攻击特点是中招的人是少数人。三、XSS场景场景1、反射型XSS1、当张三登录xxx.com后，

一、定义XSS（CrossSiteScripting），翻译过来就是跨站脚本。指的是在用户浏览器上，在渲染DOM树的时候，执行了不可预期的JS脚本，从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。二、XSS类型反射型XSS(你提交的恶意数据成功的实现了XSS，但是仅仅是对你这次访问产生了影响，是非持久型攻击)。存储型XSS(你提交的数据成功的实现了XSS，存入了数据库或者写入日志，别人访问这个页面的时候就会自动触发)。DOM型XSS是一种基于网页DOM结构的攻击，该攻击特点是中招的人是少数人。三、XSS场景场景1、反射型XSS1、当张三登录xxx.com后，

个人简介👀个人主页：前端杂货铺🙋‍♂️学习方向：主攻前端方向，也会涉及到服务端📃个人状态：在校大学生一枚，已拿多个前端offer（秋招）🚀未来打算：为中国的工业软件事业效力n年🥇推荐学习：🍍前端面试宝典🍉Vue2🍋Vue3🍓Vue2&Vue3项目实战🥝Node.js🍒Three.js🌕个人推广：每篇文章最下方都有加入方式，旨在交流学习&资源分享，快加入进来吧Node.js系列文章目录内容参考链接Node.js（一）初识Node.jsNode.js（二）Node.js——开发博客项目之接口Node.js（三）Node.js——一文带你开发博客项目（使用假数据处理）Node.js（四）Node.j

个人简介👀个人主页：前端杂货铺🙋‍♂️学习方向：主攻前端方向，也会涉及到服务端📃个人状态：在校大学生一枚，已拿多个前端offer（秋招）🚀未来打算：为中国的工业软件事业效力n年🥇推荐学习：🍍前端面试宝典🍉Vue2🍋Vue3🍓Vue2&Vue3项目实战🥝Node.js🍒Three.js🌕个人推广：每篇文章最下方都有加入方式，旨在交流学习&资源分享，快加入进来吧Node.js系列文章目录内容参考链接Node.js（一）初识Node.jsNode.js（二）Node.js——开发博客项目之接口Node.js（三）Node.js——一文带你开发博客项目（使用假数据处理）Node.js（四）Node.j

  前言：介绍： 博主：网络安全领域狂热爱好者（承诺在CSDN永久无偿分享文章）。殊荣：CSDN网络安全领域优质创作者，2022年双十一业务安全保卫战-某厂第一名，某厂特邀数字业务安全研究员，edusrc高白帽，vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长：对于技术、工具、漏洞原理、黑产打击的研究。C站缘：C站的前辈，引领我度过了一个又一个技术的瓶颈期、迷茫期。导读：面向读者：对于网络安全方面的学者。 本文知识点（读者自测）： （1）HTML标记之间的XSS（√）（2）HTML标记属性中的XSS（√）（3）从其他数据库表中检索数据（√）（4）客户端模

  前言：介绍： 博主：网络安全领域狂热爱好者（承诺在CSDN永久无偿分享文章）。殊荣：CSDN网络安全领域优质创作者，2022年双十一业务安全保卫战-某厂第一名，某厂特邀数字业务安全研究员，edusrc高白帽，vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。擅长：对于技术、工具、漏洞原理、黑产打击的研究。C站缘：C站的前辈，引领我度过了一个又一个技术的瓶颈期、迷茫期。导读：面向读者：对于网络安全方面的学者。 本文知识点（读者自测）： （1）HTML标记之间的XSS（√）（2）HTML标记属性中的XSS（√）（3）从其他数据库表中检索数据（√）（4）客户端模

文章目录前言一、XSS漏洞原理1.概述2.利用方式3.执行方式4.攻击对象5.XSS危害（1）窃取cookie（2）未授权操作（3）传播蠕虫病毒6.简单代码7.XSS验证8.二、XSS漏洞分类1.反射型XSS原理特点举个栗子：2.存储型XSS原理特点3.DOM型XSS原理特点举个栗子栗子一栗子二简单利用三、XSSpayload及变形1.payload构造（1）利用伪协议（HTML标签的属性值）（2）利用事件（3）利用CSS（只做了解）（4）利用【】构造HTML标签和标签2.payload变形（1）大小写（2）双关键字（3）【/】代替空格（4）引号（5）Tab与回车（6）编码总结前言一、XSS漏

文章目录前言一、XSS漏洞原理1.概述2.利用方式3.执行方式4.攻击对象5.XSS危害（1）窃取cookie（2）未授权操作（3）传播蠕虫病毒6.简单代码7.XSS验证8.二、XSS漏洞分类1.反射型XSS原理特点举个栗子：2.存储型XSS原理特点3.DOM型XSS原理特点举个栗子栗子一栗子二简单利用三、XSSpayload及变形1.payload构造（1）利用伪协议（HTML标签的属性值）（2）利用事件（3）利用CSS（只做了解）（4）利用【】构造HTML标签和标签2.payload变形（1）大小写（2）双关键字（3）【/】代替空格（4）引号（5）Tab与回车（6）编码总结前言一、XSS漏