什麼是XSS攻擊?XSS攻擊有哪幾種型別?

　　網路安全攻擊方式有很多種，其中包括XSS攻擊、SQL隱碼攻擊、URL篡改等。那麼XSS攻擊到底是什麼?XSS攻擊有哪幾種型別?今天小編為大家講解一下。

　　什麼是XSS攻擊?

　　XSS攻擊又稱為跨站指令碼，XSS的重點不在於跨站點，而是在於指令碼的執行。XSS是一種經常出現在Web應用程式中的電腦保安漏洞，是由於Web應用程式對使用者的輸入過濾不足而產生的，它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。

　　XSS攻擊有哪幾種型別?

　　常見的XSS攻擊有三種：反射型XSS攻擊、DOM-based型XSS攻擊、儲存型XSS攻擊。

　　第一種：反射型XSS攻擊

　　反射型XSS攻擊一般是攻擊者透過特定手法，誘使使用者去訪問一個包含惡意程式碼的URL，當受害者點選這些專門設計的連結的時候，惡意程式碼會直接在受害者主機上的瀏覽器執行。此類XSS攻擊通常出現在網站的搜尋欄、使用者登入口等地方，常用來竊取客戶端Cookies或進行釣魚欺騙。

　　第二種：DOM-based型XSS攻擊

　　客戶端的指令碼程式可以動態地檢查和修改頁面內容，而不依賴於伺服器端的資料。例如客戶端如從URL中提取資料並在本地執行，如果使用者在客戶端輸入的資料包含了惡意的JavaScript指令碼，而這些指令碼沒有經過適當的過濾或者消毒，那麼應用程式就可能受到DOM-based型XSS攻擊。

　　需要特別注意以下的使用者輸入源document.URL、location.hash、location.search、document.referrer 等。

　　第三種：儲存型XSS攻擊

　　攻擊者事先將惡意程式碼上傳或者儲存到漏洞伺服器中，只要受害者瀏覽包含此惡意程式碼的頁面就會執行惡意程式碼。這意味著只要訪問了這個頁面的訪客，都有可能會執行這段惡意指令碼，因此儲存型XSS攻擊的危害會更大。此類攻擊一般出現在網站留言、評論、部落格日誌等互動處，惡意指令碼儲存到客戶端或者服務端的資料庫中。