1.攻击者构造出特殊的URL,其中包含恶意代码。2.用户打开带有恶意代码的URL时,网站服务端将恶意代码从URL中取出,拼接在HTML中返回给浏览器。3.用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。4.恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口,执行攻击者指定的操作。
1.攻击者将恶意代码提交到目标网站的数据库中。2.用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML中返回给浏览器。3.用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。4.恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口,执行攻击者指定的操作。
攻击者构造出特殊的URL,其中包含恶意代码。用户打开带有恶意代码的URL时,网站服务端将恶意代码从URL中取出,拼接在HTML中返回给浏览器。用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
攻击者将恶意代码提交到目标网站的数据库中。用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML中返回给浏览器。用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
攻击者将恶意代码提交到目标网站的数据库中攻击者打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML中返回给浏览器用户浏览器接收到响应后解析执行,从而窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站的数据接口。存储型XSS和反射型XSS的主要区别:存储型XSS的恶意代码存在数据库里,反射型XSS的恶意代码存在URL里