XSS攻击有多种攻击类型，分为三大类 - 存储XSS、反射 XSS 、基于 DOM 的 XSS。

01 存储跨站脚本（持久型 XSS）

存储 XSS，也称为持久型 XSS，被视为是最具破坏性的 XSS 攻击类型。

当用户提供的输入被存储，在网页中呈现时，就会发生存储 XSS。

存储 XSS 的典型入口：消息论坛、博客评论、用户资料和用户名字段。

漏洞攻击方式：在网站的热门页面上，注入 XSS 恶意内容、将链接传递给受害者。诱骗他们查看包含存储 XSS 恶意内容的页面。受害者一旦访问该页面，受害者的 Web 浏览器便在客户端执行恶意内容。

举个通俗栗子吧。

法外狂徒“张三”，在浏览某论坛时，发现了一个漏洞：他可以假装成普通用户提交一条评论，此评论中包含恶意攻击代码，一旦评论提交，恶意代码将被持久化保存到服务器上。

这里的恶意代码为了便于您理解，我们可以把它当成一个“沉默的炸弹”。这个“炸弹”一旦嵌入，将永久地 “藏身” 于这个页面其余的代码中。

假若有用户打开这个页面，法外狂徒”张三“就能轻松访问用户的个人信息和财务数据等等。

所以，无论用户有多谨慎，只要访问了受感染的网页，不需要其他操作，就会在不知不觉中受到攻击。

02 反射跨站脚本（非持久型 XSS）

反射 XSS（也称为非持久型 XSS）是最常见的一种。

攻击者使用恶意链接、网络钓鱼电子邮件，或者其他社会工程技术，来诱骗受害者向服务器发出请求。在用户的浏览器中执行反射 XSS 恶意内容。

攻击者需要将恶意内容传递给每个受害者，通常使用社交网络进行。

03 基于 DOM 的跨站脚本

基于 DOM 的 XSS 是指：出现在 DOM而非 HTML 中的跨站脚本漏洞。

在反射和存储跨站脚本攻击中，可以在响应页面看到漏洞恶意内容，但在基于 DOM 的跨站脚本攻击中，在响应中找不到恶意内容。只能在运行时，或通过调查页面的 DOM 来进行观察。

基于 DOM 的 XSS 攻击通常是客户端攻击，恶意内容永远不会发送到服务器。这使得 Web 应用程序防火墙 (WAF) 和分析服务器日志的安全工程师更难进行检测，因为他们从未发现攻击。

我们可以在系统上线前通过软件安全在线检测服务，来揪出这些容易被黑客利用的漏洞！从源头把系统薄弱点给补上，这样就能很好地降低类似的安全风险啦。

如果您也有以上顾虑，害怕遭受跨站脚本攻击的话，可以联系安全顾问，体验一下软件安全在线检测服务哟~

安全顾问：莫经理13711866550

点击此处，了解软件安全在线检测服务详情