三种XSS攻击类型

三种XSS攻击类型

1. 反射型：
   

   一般来说这种类型的XSS，需要攻击者提前构造一个恶意链接，来诱使客户点击，比如这样的一段链接：www.abc.com/?params=<script>alert(/xss/)</script>。

2. 存储型：

   这种类型的XSS，危害比前一种大得多。比如一个攻击者在论坛的楼层中包含了一段JavaScript代码，并且服务器没有正确进行过滤输出，那就会造成浏览这个页面的用户执行这段JavaScript代码。

3. DOMXSS：

   这种类型则是利用非法输入来闭合对应的html标签。

   比如，有这样的一个a标签：
   

   <a href='$var'></a>

   乍看问题不大，可是当$var的内容变为 ' onclick='alert(/xss/) //，这段代码就会被执行。