XSS攻擊的分類有哪些?

XSS攻擊通常在用戶訪問目標(biāo)網(wǎng)站時或者之后進(jìn)行某項動作時觸發(fā)并執(zhí)行。根據(jù)攻擊代碼的存在地點及是否被服務(wù)器存儲，并且根據(jù)XSS攻擊存在的形式及產(chǎn)生的效果，可以將其分為以下三類。

1）反射型跨站攻擊：涉及瀏覽器—服務(wù)器交互。

2）存儲型跨站攻擊：涉及瀏覽器—服務(wù)器—數(shù)據(jù)庫交互。

3）DOM型跨站攻擊：涉及瀏覽器—服務(wù)器交互。目前，可直接產(chǎn)生大范圍危害的是存儲型跨站攻擊。攻擊者可利用JS腳本編寫各類型攻擊，實現(xiàn)偷取用戶Cookie、進(jìn)行內(nèi)網(wǎng)探測、彈出廣告等行為。

攻擊者構(gòu)造的JS腳本會被存儲型跨站漏洞直接存儲到數(shù)據(jù)庫中，一旦有人訪問含有XSS漏洞的頁面，則攻擊者插入的JS腳本生效，攻擊成功。接下來，我們會針對各類攻擊及思路進(jìn)行講解。