什么是XSS攻击？有哪些分类？

什么是XSS攻击？

XSS攻击：跨站脚本攻击。（重点在于脚本的执行）

原理：恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候，那么嵌入到web页面中script代码会执行，因此会达到恶意攻击用户的目的。
XSS攻击有哪些分类？

一、反射型XSS：
原理：反射性xss一般指攻击者通过特定的方式来诱惑受害者去访问一个包含恶意代码的URL。当受害者点击恶意链接url的时候，恶意代码会直接在受害者的主机上的浏览器执行。
特点：非持久性XSS，攻击方式只有一次性。

二、存储型XSS
原理：将恶意代码上传或存储到服务器中，下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码。
防范操作：
后端需要对提交的数据进行过滤。
前端也可以做一下处理方式，比如对script标签，将特殊字符替换成HTML编码这些等。

三、DOM-based型XSS
原理:用户在客户端输入的数据包含了恶意的js脚本的话，但是这些脚本又没有做任何过滤处理的话，那么我们的应用程序就有可能受到DOM-based XSS的攻击。

攻击步骤：

1、攻击者构造出特殊的URL、在其中可能包含恶意代码。
2、用户打开带有恶意代码的URL。
3、用户浏览器收到响应后解析执行。前端使用js取出url中的恶意代码并执行。
4、执行时，恶意代码窃取用户数据并发送到攻击者的网站中，那么攻击者网站拿到这些数据去冒充用户的行为操作。调用目标网站接口
执行攻击者一些操作。
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。